Wie kam es zum Angriff auf die NFT-Plattform OpenSea?
Der NFT-Markt ist im vergangenen Jahr explodiert und machte Umsätze von 40 Milliarden US-Dollar. Vor wenigen Wochen bewies der größte NFT-Marktplatz, dass Sicherheitsrisiken in kürzester Zeit für Schäden in Millionenhöhe sorgen können. Wie kam es zum Angriff auf OpenSea?
NFTs machen Kryptowährungen populärer
Der Bitcoin ist bis heute das wesentliche Zugpferd des Kryptomarktes. Sinkt der Bitcoin, fällt gleichzeitig zumindest ein Großteil der anderen Kryptowährungen. Steigt der Bitcoin, nimmt auch die Euphorie der Investoren gegenüber weiteren Kryptos zu.
2021 gab es neben dem Bitcoin noch eine weitere treibende Kraft: die NFTs. Ausschlaggebend waren vor allem die astronomischen Preise, welche die digitalen Kunstwerke zuletzt erzielen konnten.
Der teuerste einzelne NFT ist bis heute Beeples Everydays: the First 5000 Days. Das Bild ist ein Mosaik, das er aus 5.000 Bildern seiner Reihe Everydays zusammenstellte. Käufer ist der Programmierer und Investor Vignesh Sundaresan, der bei einer Auktion von Sotheby umgerechnet 63,3 Millionen Euro bezahlte.
Die 42.329 Ethereum, welche er dafür investierte, haben mittlerweile einen Wert von über 101,5 Millionen Euro. Den Massenmedien blieben derlei Nachrichten nicht verborgen und so steigerte sich die Aufmerksamkeit für NFTs rasant.
Prominente lieben NFTs
Viele Prominente nutzten die Chance, ebenfalls in die unverwechselbaren Token zu investieren oder veröffentlichten sogar eigene Kunstwerke. Paris Hilton, Lindsay Lohan, Justin Bieber, Eminem oder Snoop Dogg: Sie alle sind mittlerweile Liebhaber der NFTs.
Snoop Dogg hat sogar so großen Gefallen an der Pixelkunst gefunden, dass er selbst zu einem der größten Sammler und Förderer der Szene geworden ist. Unter dem Namen Cozomo de’ Medici erlangte er als NFT-Sammler mit ganz besonders großem Geldbeutel Bekanntheit.
Auf Twitter verfügt er aktuell über knapp 211.000 Anhänger. Dass der US-amerikanische Rapper Snoop Dogg hinter dem Konto steckt, war zuerst unbekannt. Im September verkündete er diese Nachricht selbst.
I am @CozomoMedici
— Snoop Dogg (@SnoopDogg) September 20, 2021
Erst einen Monat vorher gründete er sein neues Konto, mit dem er als Kunstmäzen auftritt. Die Tatsache, dass Prominente so großes Interesse an NFTs entwickelten, befeuerte den Markt zusätzlich und verstärkte den Lawineneffekt, der im Jahr 2021 schließlich für Investitionen von über 44 Milliarden US-Dollar sorgte – so laut dem Chainalysis NFT Market Report.
Sicherheitsprobleme auf OpenSea häufen sich
Der wachsende Markt hat jedoch auch Schattenseiten, wie OpenSea in den letzten Wochen eindrucksvoll, aber ungewollt bewies. Ende Januar kam es auf dem größten NFT-Marktplatz zu einer Schwachstelle, die Hackern ermöglichte, NFTs für geringe Preise zu erwerben, ohne dass der eigentliche Eigentümer überhaupt davon wusste.
Wie es zu dem Vorfall kam, ist inzwischen geklärt. Zum Zeitpunkt vor anderthalb Monaten kam es dabei zu Schäden in Höhe von knapp drei Millionen US-Dollar. Ein paar sehr wertvolle NFTs gingen dabei verloren.
Unter anderem entwendete ein Hacker den Bored Ape #3475. NFTs des Bored Ape Yacht Club liegen derzeit bei einem Marktpreis von mehreren Hunderttausend Euro. Der entwendete Affe gehört zu den 14 Prozent der seltensten NFTs der gesamten Kollektion.
Der rechtmäßige Besitzer des Bored Apes ließ das nicht auf sich sitzen und reichte eine Klage ein. Kläger Timothy McKimmy fordert einen Schadenersatz in Höhe von 1,1 Millionen US-Dollar.
Schuld an der ganzen Misere war die Möglichkeit, alter Verkaufsangebote fortzubestehen. Diese Listungen waren jedoch nicht öffentlich auf dem Marktplatz einzusehen. Im Code der Plattform bestanden die Angebote weiterhin.
Diese Schwachstelle nutzten mehrere Hacker aus. Die Schwachstelle ist unter dem Namen Inactive Listing Exploit bekannt und mittlerweile behoben.
OpenSea trägt Mitschuld an Phishing-Angriff
Knapp einen Monat nachdem die Schwachstelle im Code von OpenSea ausgenutzt wurde, sollte eine weitere Aktualisierung durchgeführt werden. OpenSea setzte seine Nutzer dafür unter Zeitdruck.
Die zugrundeliegenden Smart Contracts sollten neu geschrieben werden. So wollte man den Fehler des Inactive Listings beheben und alle noch bestehenden inaktiven Listungen entfernen, bevor es zu weiteren Schäden käme.
Einige Personen sahen diese Möglichkeit als Chance und führten gezielte Phishing-Angriffe aus. Dabei versendeten sie E-Mails an OpenSea-Nutzer mit besonders wertvollen NFTs und forderten diese auf, ihre NFTs zu migrieren. Mit gefälschten E-Mail-Adressen versendeten sie Links zu sogenannten Leerverträgen.
Diese Leerverträge waren für die Empfänger der E-Mails nicht als Transaktion zu erkennen. Beim Bestätigen des Vertrages versendeten sie unwissentlich ihre kostbaren NFTs. Ein Mittel für die gelungene Maskerade waren gespoofte E-Mails.
Nachrichten dieser Art zeigen einen beliebigen Versender an und können somit authentisch wirken. Die Links, welche in den E-Mails enthalten waren, sind jedoch als falsch erkennbar. Da viele Nutzer noch immer nicht von E-Mail-Spoofing wissen, sind diese Angriffe oft äußerst effektiv.
OpenSea selbst streitet alle Schuld ab, ist aber Urheber des eigentlichen Problems und machte die eigenen Kunden durch schlechte Organisation angreifbar.
Lässt sich das Phishing von NFTs verhindern?
Neeraj Murarka, technischer Direktor von GameFi erklärte den Vorfall wie folgt:
Metaphorisch gesehen war dies wie die Unterzeichnung eines Blankoschecks. Normalerweise ist das in Ordnung, wenn der Zahlungsempfänger der beabsichtigte Empfänger ist. Denkt daran, dass eine E-Mail von jedem gesendet werden kann, aber aussehen kann, als wäre sie von jemand anderem gesendet worden. In diesem Fall scheint es sich bei dem Zahlungsempfänger um einen einzelnen Hacker zu handeln, der in der Lage war, diese signierten Transaktionen zu nutzen, um Überweisungen vorzunehmen und die NFTs dieser Nutzer effektiv zu stehlen.
Alexander Klus, Gründer von Creaton, hält neue Standards für notwendig. Nutzer sollen sehen können, was genau in dem geschlossenen Vertrag geschieht.
Wir brauchen bessere Standards (wie EIP-712) für die Unterzeichnung, damit die Leute tatsächlich sehen können, was sie tun, wenn sie eine Transaktion genehmigen.
Murarka hält es unterdessen für notwendig, Nutzer auf die Gefahren aufmerksam zu machen, denen sie ausgesetzt sind.
Es sollten sehr deutliche Warnungen ausgesprochen werden, um den Nutzer über Phishing-Angriffe aufzuklären und ihm klar zu machen, dass niemals E-Mails verschickt werden, in denen der Nutzer aufgefordert wird, irgendwelche Schritte zu unternehmen. Webanwendungen wie OpenSea sollten ein striktes Protokoll einführen, um niemals mit Nutzern per E-Mail zu kommunizieren, abgesehen vielleicht von den Registrierungsdaten.
Eine weitere Lösung, um Phishing vorzubeugen, wäre die Verwendung einer Desktop-Anwendung. Diese würde aber dazu führen, dass OpenSea weniger zugänglich ist. Der Phishing-Angriff kam genau zur falschen Zeit und baute auf der Verwirrung der Nutzer auf. Wäre das Verständnis für Phishing besser ausgeprägt, wäre es allerdings nicht dazu gekommen.
Die Adressleiste im Browser entlarvt jeden noch so guten Phishing-Versuch.