Come creare un Nft e come venderlo online
Nuovi strumenti, vecchi trucchi: quasi 2 milioni di dollari di Nft rubati col phishing
Un bel furto nel corso della settimana su OpenSea, una delle piattaforme di riferimento per la compravendita di Nft, token non fungibili, le certificazioni decentralizzate della proprietà di un qualche asset, fisico o digitale. Il bottino sarebbe da 641 Ether, circa 1.5 milioni di euro: secondo un rapporto stilato da PeckShield gli attaccanti avrebbero preso di mira 32 account, sottraendo loro un totale di 254 token fra i quali alcuni appartenenti a collezioni anche di un certo valore come Azurki, Bored Ape Yacht Club, Doodle e Cool Cats.
Ma qual è stata la reale dinamica del furto, consumatosi il 19 febbraio? Secondo OpenSea, la piattaforma non c’entrerebbe nulla. Stando ad alcuni esperti gli hacker avrebbero sfruttato una caratteristica del Wyvern Protocol, uno standard open source di riferimento per molte piattaforme del cosiddetto Web3 che utilizzano la blockchain Ethereum per la gestione degli smart contracts. Come ha ricostruito The Verge, un esperto in un thread su Twitter ha suggerito che le vittime potrebbero aver firmato un accordo parziale che ha in seguito consentito all’attaccante di trasferire gli Nft senza che avvenisse alcuna transazione. Una ricostruzione che Devin Finzer, il 32enne cofondatore e Ceo di OpenSea, ha definito “coerente con la nostra attuale comprensione interna” di quanto accaduto. In sostanza, le vittime sarebbero state agganciate da comunicazioni fasulle di OpenSea che le hanno convinte a spostare i propri nft sul portafogli di qualcun altro. Addio.
Già, perché se è vero che secondo Finzer sulla piattaforma non è successo niente (nessuna vulnerabilità nelle fasi di “minting”, cioè di creazione dell’nft, acquisto, vendita o altri passaggi) l’unica spiegazione è appunto che un pezzo dell’operazione sia transitata dal caro (mica tanto), vecchio phishing: “Siamo piuttosto convinti che si tratti di un attacco phishing – ha spiegato Finzer sempre su Twitter – non sappiamo dove sia avvenuto ma parlando con i 32 utenti interessati siamo stati in grado di escludere una serie di cause”. Quali? Quelle che potrebbero essere state legate al suo marketplace.
Una “pesca a strascico” completamente esterna a OpenSea, dai cui sistemi non sarebbe partita alcuna comunicazione fraudolenta che possa aver indotto le vittime ad autorizzare un passaggio dell’nft senza il pagamento necessario. Un utente ha appunto verificato come le transazioni risultino al momento perfettamente in regola, frutto di un passaggio tipicamente legato a un inganno a base di phishing. Nella prima parte dell’attacco le vittime hanno firmato un contratto parziale con una autorizzazione generale e ampie porzioni di codice lasciate in bianco, che sono state poi completate a piacimento trasferendo gli nft in questione nella disponibilità degli attaccanti ma senza pagamento. Come se i bersagli avessero firmato un assegno in bianco e poi i truffatori avessero completato l’importo a propria scelta, passando in banca per l’incasso.
Valutata 13 miliardi di dollari in un recente round di finanziamento, OpenSea è diventata una delle protagoniste del boom degli Nft: è infatti un ottimo intermediario con la blockchain, alla portata di chi non abbia mai avuto particolari esperienze con quei sistemi. Ultimamente però, a parte vecchi pasticci legati a contratti finalizzati in precedenza o al dipendente che faceva insider trading, sta affrontando non pochi problemi. Uno su tutti è costituito dai falsari degli Nft, gente che prende opere altrui e ne realizza token da monetizzare, in un singolare intreccio di copyright, tecnologia e finanza decentralizzata che lascia con un pugno di mosche chi effettivamente abbia firmato o realizzato certe opere o lavori. Da poco la piattaforma ha invitato tutti gli utenti a migrare i propri asset su una nuova tipologia di smart contract.
