A OpenSea, um dos principais marketplaces de NFTs (tokens não fungíveis) do mercado, afirmou que corrigiu vulnerabilidades que permitiam que hackers roubassem ativos digitais após enviar arquivos carregados com códigos maliciosos como NFTs. O problema havia sido encontrado pela empresa de segurança digital Check Point Research após múltiplos usuários da plataforma afirmarem ter sido hackeados nas redes sociais.
Pesquisadores da companhia conversaram com pessoas que disseram ter sofrido ataques e encontraram vulnerabilidades na plataforma OpenSea, provando então que os ataques relatados poderiam ocorrer ao se receber um NFT com códigos maliciosos. As falhas foram enviadas para o marketplace, que então trabalhou em conjunto com a empresa e as consertou dentro de uma hora. Além disso, a plataforma também garantiu que as correções funcionassem, afirmou a Check Point Research em uma postagem de blog.
Invasões exigiam falta de atenção de usuários
Ainda que a falha fosse grave e permitisse, no pior dos casos, que carteiras digitais tivessem todos seus ativos roubados, o exploit das falhas não era facilmente aplicado. Para que o golpe ocorresse, os hackers precisavam enviar um NFT de um arquivo carregado com o código malicioso como um “presente” para a possível vítima. No entanto, o código só era ativado se o usuário em questão abrisse o arquivo a partir de sua conta do OpenSea.
Nesse processo é necessário passar por várias janelas, inclusive algumas que revelam detalhes da transação e de quem enviou o NFT. Porém, caso um usuário ainda assim abrisse o arquivo atrelado ao token não fungível em sua conta OpenSea, os hackers receberiam informações de sua carteira digital MetaMask, instalada como uma extensão de navegador e vinculada ao marketplace.
Ou seja, a situação se tornava perigosa apenas ao visualizar por completa a imagem atrelada ao NFT recebido, como ao clicar no botão direito do mouse e em “abrir imagem em uma nova guia”. Assim, o código iria automaticamente iniciar uma janela pop-up solicitando acesso a sua carteira digital MetaMask. Caso o usuário concedesse o acesso, os hackers poderiam roubar as informações da carteira e forçar outros pop-ups solicitando aprovações de transferências.
Notificação pop-up da carteira MetaMask para aceitar uma transação entre carteiras digitais (Imagem: Reprodução)
Pode parecer um golpe muito difícil de se concretizar, mas as vítimas relataram que, se você não está prestando atenção, clicar em um botão em uma simples janela pop-up no canto do seu navegador pode parecer bem intuitivo para se livrar dela se sobrepondo a sua tela.
OpenSea não identificou nenhuma vítima
Mesmo com diversos relatos no Twitter, a OpenSea afirmou em comunicado que não encontrou nenhum caso de alguém que foi comprovadamente atacado usando esse exploit. Nas redes sociais, as vítimas afirmavam apenas que foram hackeadas após receber um NFT de presente na plataforma, sem mais detalhes.
A OpenSea também disse estar trabalhando com os fornecedores e desenvolvedores de carteiras digitais para ajudar pessoas a reconhecer solicitações potencialmente maliciosas. Além disso, a plataforma também anunciou que vai esconder NFTs de “alto perfil” das contas se eles pertencerem a coleções não verificadas, evitando fraudes e cópias de trabalhos famosos. Usuários também poderão suspender a opção de compra e venda de ativos se acharem que sua carteira digital foi comprometida.
O que significa a segurança em marketplaces de NFTs?
Em um ambiente digital tão dinâmico e caracterizado pela inovação, a segurança de plataformas como a OpenSea deve ser uma prioridade absoluta. A presença de vulnerabilidades representa uma ameaça não apenas para os usuários individuais, mas também para a credibilidade do mercado de NFTs como um todo.
Além das recentes correções, o mercado de NFTs tem visto um aumento na adoção de tecnologias voltadas para proteção de dados. Autenticação em dois fatores, monitoramento de atividades suspeitas e atualizações regulares de segurança são agora práticas comuns em plataformas que desejam manter seus usuários protegidos.
Quais são as melhores práticas para usuários de NFTs?
- Mantenha sua carteira digital atualizada: Atualizações frequentes ajudam a evitar vulnerabilidades conhecidas.
- Use autenticação em dois fatores: Essa camada adicional de segurança torna mais difícil para hackers acessarem sua conta.
- Verifique a origem dos NFTs: Sempre cheque se o NFT tem procedência clara e se é de uma coleção confiável.
- Desconfiar de “presentes”: Receber NFTs inesperados pode ser um sinal de alerta; evite abrir arquivos de fontes desconhecidas.
- Eduque-se sobre fraudes: Manter-se informado sobre os tipos comuns de fraudes pode ajudar na prevenção.
Essas estratégias não garantem 100% de segurança, mas podem diminuir significativamente os riscos associados à operação em marketplaces de NFTs.
As implicações de longo prazo da segurança nas NFTs
A segurança é um aspecto crucial não apenas para a OpenSea, mas para todo o ecossistema de NFTs. Um incidente de segurança pode afetar negativamente a confiança dos usuários, levando a uma queda no valor dos ativos digitais e na participação da comunidade. Com o aumento do interesse por NFTs, a segurança deve ser uma prioridade não apenas para os marketplaces, mas também para os criadores, compradores e investidores.
As consequências de uma violação de segurança em larga escala podem ser devastadoras. Não apenas perdas financeiras significativas podem ocorrer, mas a reputação de toda a indústria de NFTs pode ser prejudicada, resultando em um possível retrocesso no crescimento e na adoção desse novo mercado.
O futuro da comercialização de ativos digitais pode ser brilhante, mas dependerá da habilidade das plataformas em garantir a segurança de seus usuários.
