Pozornost zlodějů kryptoměn se nyní přesouvá i na nezaměnitelné tokeny (non-fungable tokens). Došlo k první velké krádeži NFT. O víkendu 19.-20. února namířil zloděj phishingový útok proti uživatelům největší tokenové burzy OpenSea.
Podle informací bezpečnostní služby Blockchain PeckShield odcizil útočník uživatelům celkem 254 nezaměnitelných tokenů. Útok trval tři hodiny a zaměřil se na 32 různých klientských účtů. Celková škoda činí 641 ethereum, což je k datu vydání této zprávy hodnota přesahující 38 milionů korun.
První větší krádež NFT proběhla ve chvíli, kdy burza OpenSea informovala uživatele o přechodu na nový kontrakt a vyzívala je k aktualizaci svých účtů. Útočník této situace využil k zaslání podvodného emailu klientům burzy. V tom jim nabízel možnost ušetření poplatku spojeného se změnou kontraktu.
Výměnou za slibované ušetření poplatku následně umožnili klienti útočníkovi přístup ke svým peněženkám. Ten si poté převedl nezaměnitelné tokeny v hodnotě desítek milion korun na vlastní účet. Byly mezi nimi i tokeny ze sbírek Bored Ape Yacht a Azuki.
Každý se může stát obětí phishingu
Útočník na klienty burzy OpenSea využil ke své krádeži tzv. phishingu, tedy podvodné manipulace v kybernetickém prostoru. Jedná se o techniku, která byla již dříve využívána k odcizování kryptoměn. Nyní byla poprvé ve větším měřítku použita i u nezaměnitelných tokenů.
S phishingem se ovšem lidé mohou setkat i jinde. Se zvyšujícím se počtem phishingových útoků se potýkají například malé podniky v Česku. Ty se mohou chránit bezpečnostním scanningem, který nepřetržitě monitoruje veškerou aktivitu ve firemní síti. „Otázka pravidelných bezpečnostních monitoringů je v tuzemském prostředí stále častěji skloňovaná. Vzhledem k rostoucímu trendu kybernetických útoků se tak pravidelný bezpečnostní sken může stát velmi účinnou ochranou,“ říká ředitel firmy DoxoLogic Martin Listopad.
Jak se vyhnout phishingu?
Phishingoví útočníci si, stejně jako tomu bylo v případě burzy OpenSea, vybírají známé instituce a v emailové komunikaci mluví jejich jménem. Prostřednictvím emailu se pak snaží přimět adresáta k akci – může se jednat například o otevření odkazu se škodlivým kódem anebo zaslání citlivých údajů.
Nejúčinnější obrana před phishingem je včas jej rozpoznat. To je možné například na základě špatné gramatiky nebo podezřelé domény. Už samotný požadavek na citlivé informace je pak potenciálním znamením phishingu, protože banky a jim podobné instituce zpravidla nevyžadují osobní údaje emailem.