Gefälschtes OpenSea-E-Mail

Phisher stiehlt NFTs im Wert von mehreren Millionen US-Dollar

Uhr
von Patrick Toggweiler, Watson.ch

Über manipulierte Mails und Webseiten ist es einem Betrüger gelungen, NFTs im Wert von mehreren Millionen US-Dollar zu ergaunern. Dabei verkaufte der Phisher aber nicht die gesamte Beute.

(Source: Pixabay / Maklay62 / CC0 Creative Commons)
(Source: Pixabay / Maklay62 / CC0 Creative Commons)

Einem Internet-Betrüger ist es am Wochenende gelungen, NFTs (digitale Kunst- und Sammelobjekte) im Wert von mehreren Millionen US-Dollar zu erbeuten. Dafür kopierte er eine E-Mail der grössten NFT-Tauschbörse OpenSea und versetzte diese mit Links zu manipulierten Verträgen. Bei genauerem Hinsehen wären diese als solche zu erkennen gewesen. Trotzdem klickten diverse NFT-Besitzer und -Besitzerinnen einmal zu viel.

Dem Täter spielte in die Hände, dass OpenSea aktuell seine Verträge (Smart Contracts) updatet und per Mail seine Kundschaft dazu aufruft, zum Verkauf angebotene NFTs in einen neuen Vertrag zu migrieren. Die dazu nötige Berechtigung können eingeloggte User mit einem Klick erteilen. Genau das glaubten die Geschädigten zu tun. Anstelle einer harmlosen Berechtigung für eine Migration erteilten sie aber dem Dieb die Berechtigung, das entsprechende NFT kostenlos zu übernehmen.

Der digitale Langfinger ging dabei sehr wählerisch vor. Die Crème de la Crème seines Raubs bot er zum Verkauf an – zum Teil für die Hälfte des Marktwertes. So gelangen ihm zahlreiche Verkäufe. Weniger wertvolle NFTs transferierte er den Geschädigten umgehend zurück.

Millionenschwere Beute

Zu den erbeuteten NFTs gehören unter anderem drei "Bored Ape Yacht Club" (BAYC) im Wert von knapp einer Million Dollar, 36 "Azukis" (Gesamtsumme 1,2 Millionen) und 21 "NFT-World"-Welten (Gesamtsumme etwa 1 Million Dollar). Auch auf das von Nike erworbene Projekt "CloneX" und auf Adidas-NFTs hatte es der Übeltäter abgesehen.

Weil die Transaktionen auf der einfach zurückverfolgbaren Ethereum-Blockchain getätigt wurden, kann der Tatverlauf auch von Laien leicht reproduziert werden. Die entsprechende Adresse wurde mittlerweile mit dem Zusatz Fake_Phishing5169 versehen. Dabei sind einige erstaunliche Dinge ersichtlich.

Mindestens drei NFTs der Kollektion "Mutant Ape Yacht Club" wurden an die Besitzer zurückgesendet. Der Wert der drei Mutanten: 144'000 Dollar. Auch die Kollektion "mfers" tat es dem Deliquenten nicht an. Mindestens sechs der neun entwendeten Meme-Bildchen im Wert von 94'000 Dollar gingen zurück an ihre rechtmässigen Besitzer.

Zunächst hatten diverse Unklarheiten der Phishing-Aktion die NFT-Szene in Angst und Schrecken versetzt. Das Ausmass des Betruges wurde zuerst auf bis zu 200 Millionen geschätzt. Ausserdem behaupteten angeblich Betroffene, ihre Verluste wären nach der Interaktion mit einem tatsächlichen OpenSea-Vertrag zustande gekommen. Die Behauptungen erwiesen sich bisher als haltlos.

Dieser Artikel erschien zuerst bei Watson.ch.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_246967