Un hacker ha preso di mira OpenSea, il più importante marketplace dedicato alla vendita di NFT emessi usando la rete di Ethereum. In poco tempo il criminale è riuscito a mettere le mani su alcuni crypto-collezionabili di estremo valore, rubando un bottino dal valore di diversi milioni di dollari.

Gli NFT vengono tutti rubati attraverso il phishing, ossia ingannando il legittimo proprietario dell’NFT e inducendolo ad autorizzare una transazione malevola dal suo wallet verso quello dell’hacker.

OpenSea ha annunciato di aver aperto un’indagine sull’accaduto. “Sembra che la campagna di phishing abbia origine al di fuori del sito ufficiale di OpenSea. Non clickate link esterni che portino verso opensea.io”, si legge nell’allert diffuso dal marketplace.

Recentemente OpenSea ha aggiornato i suoi smart contract, in modo da risolvere un exploit già noto che consentiva ai truffatori di acquistare alcuni NFT di valore per una frazione del loro reale valore. Secondo parte della community di collezionisti, gli hacker avrebbero creato una pagina pressoché identica a quella utilizzata dal marketplace per i nuovi smart contract. Così la vittima, credendo di star mettendo in sicurezza i suoi NFT messi in vendita su OpenSea, finirebbe in realtà per trasferirli ai truffatori.

Il wallet dei truffatori avrebbe accumulato in poco tempo oltre 600 ETH, per un totale di circa 2 milioni di dollari. La lista degli NFT rubati include, tra le altre cose, anche diversi Bored Ape Yacht Club, ossia la collezione più popolare e costosa attualmente sul mercato. Un singolo BAYC può valere come un appartamento in una zona centrale di Milano.

Se l’utente cede inavvertitamente i suoi NFT ad un truffatore c’è poco che si possa fare. OpenSea può limitarsi a congelare uno specifico NFT se si ritiene che sia stato rubato, impedendone la vendita sul suo sito. Lo stesso NFT, tuttavia, può essere venduto o ceduto su altri mercati secondati che non adottano questo genere di misure di sicurezza.