Der NFT-Marktplatz OpenSea musste am Mittwoch einen Hack eingestehen. Dieser kam aus unerwarteter Richtung.
Der OpenSea-Hack kam von einem Mitarbeiter von Customer.io, der seine Rechte missbraucht und die E-Mail-Adressen aller Kunden und Subscriber des Newsletters abgeschöpft hat. Wenn ein Benutzer jemals seine E-Mail-Adresse mit OpenSea geteilt hat, ist er ziemlich sicher betroffen, so die Ankündigung. Laut OpenSea befinde man sich in enger Zusammenarbeit mit Customer.io und habe den Leak bereits den Behörden gemeldet.
OpenSea warnt ausdrücklich vor Phishing-Mails
Das offensichtliche Problem bei Leaks von E-Mail-Adressdatenbanken ist, dass es zu Phishing-Mails führt, wovor natürlich auch OpenSea ausdrücklich warnt. Im Speziellen weisen sie auf mögliche Nachahmungen bei den Domains hin. Nur die Domain opensea.io ist die korrekte! Auch versendet der NFT-Marktplaz E-Mails ausschließlich von der Domain opensea.io. Die URLs in den E-Mails sind nur in der Form email.opensea.io zu sehen. Ein beliebter Trick bei Gaunern ist es, Buchstabendreher in den Domains zu verwenden. Auch Buchstabenkombinationen, die ganz anders wahrgenommen werden: beispielsweise rn -> m. Rechtschreibung ist ebenso ein guter Ansatzpunkt. Fehlt dem Domainnamen eventuell ein Buchstabe, oder sieht einer wie ein anderer aus, wie I und l?
Ganz wichtig auch weiterhin, niemals seine Recovery Phrase oder Passwörter weiterzugeben – KEIN Anbieter wird das jemals verlangen. Schlussendlich raten OpenSea dazu, nie eine Wallet-Transaktion zu unterzeichnen, denn deren E-Mails enthalten keine Transaktionsanfragen. Als Reaktion auf den Leak versandten sie gestern Mails an die Benutzer, von denen sie glaubten, dass sie betroffen sein könnten. Die genaue Userzahl ist nicht bekannt, allerdings werden Werte um 1,8 Millionen aktiv handelnde Benutzer gemutmaßt.
Letzter Leak war im Februar
Es ist noch gar nicht lang her, da war der letzte Leak zu OpenSea aktuell. Damals wurden hunderte NFTs gestohlen; der Schaden betrug an die 1,7 Millionen US-Dollar. Mit einem Phishing-Angriff konnte der Angreifer 32 Accounts insgesamt 254 Tokens abknöpfen, wie ein Spreadsheet von PeckShield zeigt; einem Blockchain-Sicherheitsdienstleister. Insgesamt erbeutete der Täter 641 ETH, was damals ungefähr genannte 1,7 Millionen US-Dollar einbrachte. Noch ein paar Monate zuvor fanden Forschende von Check Point eine kritische Sicherheitslücke, die Gauner möglicherweise ausnutzten.