OpenSea, 's werelds grootste NFT-marktplaats, heeft zondag 20 februari 2022 bevestigd dat het is getroffen door een phishing-attack en dat ten minste 32 gebruikers hun NFTs met een totale waarde van 1.7 miljoen dollar hebben verloren. Eerder dit jaar kampte OpenSea ook al met beveiligingsproblemen, waarmee meer dan 1 miljoen dollar aan NFTs werd buitgemaakt.
Eén van de slachtoffers, de (voormalige) eigenaar van een Bored Ape NFT, heeft inmiddels een rechtszaak aangespannen tegen OpenSea.
In deze blog wordt alles uitgelegd over deze beveiligingsproblemen en wordt ingegaan op de rechtszaak.
Bekijk snel
In de video hieronder wordt samenvattend uitgelegd wat er precies gebeurd is tijdens de hack van OpenSea:
Wat is OpenSea?
OpenSea is wereldwijd de eerste én grootste marktplaats waar non-fungible tokens (NFTs) gekocht en verkocht kunnen worden. Ook kun je hier je eigen NFTs creëren. Het platform werd op 20 december 2017 in New York opgericht door Devin Finzer en Alex Atallah.
In 2022 zijn er ruim 80 miljoen NFTs beschikbaar op OpenSea. Bekende NFT collecties die momenteel op OpenSea verhandeld worden zijn bijvoorbeeld Bored Ape Yacht Club, CryptoPunks en Decentraland. Ook vind je hier de digitale kunstwerken van onder andere Beeple, Johnny Depp en Banksy.
OpenSea is vooral erg aantrekkelijk omdat het platform vrij eenvoudig te gebruiken is en relatief lage kosten in rekening brengt. Wil je meer weten over hoe je op OpenSea NFTs kunt kopen, verkopen of zelf maken? Lees dan deze blog of bekijk de video hieronder voor meer uitleg:
Maar hoe veilig is OpenSea als het aankomt op hacks en oplichting?
Is OpenSea veilig?
Alhoewel OpenSea op dit moment de grootste NFT-marktplaats ter wereld is, betekent dat niet zonder meer dat het platform ook veilig is. Er zijn de afgelopen tijd meerdere verontrustingen geuit dat OpenSea kwetbsaar is voor hacks en oplichting. Zo zouden OpenSea-gebruikers zijn gehackt en zouden er bugs zijn ontdekt die tot beveiligingsproblemen kunnen leiden. Is OpenSea veilig?
OpenSea besteedt op de site aandacht aan de veiligheid van het platform en geeft verschillende tips om oplichting te voorkomen. Denk hierbij aan de waarschuwing om nooit je secret recovery phrase van je wallet te delen, alleen op officiële links te klikken en het instellen van een two-Factor Authentication (2FA).Voor vragen en hulp verwijst OpenSea naar haar officiële kanalen, om zo oplichting te voorkomen. In het algemeen wordt aangeraden om voorzichtig te zijn bij hulp via niet-officiële kanalen. Op deze manier probeert OpenSea dus haar transparantie en de educatie van gebruikers te vergroten. Maar is dit genoeg om een veilig platform te garanderen?
Aangezien crypto en NFTs in veel landen over de hele wereld nog niet zijn gereguleerd, blijven wallets een aantrekkelijk doelwit voor hackers. Naast de algemene risico's op oplichting die gelden voor NFTs, zoals neppe NFT-websites, neppe socialmedia-accounts, neppe Telegram-groepen of Discord-servers, 'Claim hier je gratis NFTs' en Copycat NFTs, zijn er bij OpenSea meerdere specifieke problemen gemeld. Zo verscheen eerder een rapport waaruit naar voren kwam dat veel NFTs die op OpenSea verhandeld worden fake zijn en dat gebruikers gehackt werden, nadat zij een gratis NFT hadden ontvangen. Vooral de wat minder ervaren gebruikers zijn hier de dupe van.
Een meer zorgwekkend en fundamenteel probleem dat sinds enige tijd wordt gemeld is dat oplichters misbruik kunnen maken van een bug op OpenSea, waardoor NFTs gekocht kunnen worden voor een aanzienlijk lagere prijs dan waarvoor ze worden aangeboden. Dit probleem is al verschillende keren aangekaart en wordt gedetailleerd beschreven. OpenSea heeft daarop echter nagelaten om direct actie te ondernemen.
Aanhoudende problemen Open Sea
Volgens rapporten heeft een fout in de front-end van OpenSea ertoe geleid dat hackers populaire NFTs kunnen kopen tegen zeer lage prijzen. Het probleem lijkt vooral voor te komen bij NFTs van Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats en Cyberkongz, waarbij deze NFTs gekocht kunnen worden voor een lagere aanbiedingsprijs en ze vervolgens voor de huidige marktprijs kunnen worden verkocht.
Zo werd bijvoorbeeld op 24 januari 2022 Bored Ape Yacht Club NFT #9991 gekocht voor 0,77 ETH ($1800), terwijl deze niet gelist stond en de floorprice rond de 88 ETH ligt. Zo'n 22 minuten later verkocht de hacker (onder de naam ‘jpegdegenlove’) deze NFT voor 84,2 ETH ($196.000) en realiseerde daarmee dus een winst van ongeveer $194.000.
Dit is zeker niet het enige geval, want er zijn nog veel meer voorbeelden te noemen. Van Bored Ape Yacht Club is bekend dat naast #9991 in ieder geval ook #3475 en #8924 getroffen zijn door de hack, #4986 van de Mutant Ape Yacht Club en #357 van Cool Cats. Op 31 december 2021 werd al melding gedaan van deze kwetsbaarheid, maar OpenSea heeft toen nagelaten om dit probleem direct effectief te verhelpen, met meerdere slachtoffers als gevolg.
Volgens cryptocurrency-analysebedrijf Elliptic hebben op zijn minst drie hackers, door misbruik te maken van de bug bij OpenSea, NFTs gekocht met een totale marktwaarde van meer dan 1 miljoen dollar.
En of dat allemaal nog niet verontrustend genoeg is, vond er bij OpenSea eind februari 2022 een scam plaats, waarmee nog eens 1.7 miljoen dollar werd buitgemaakt.
Phishing aanval februari 2022
Terwijl OpenSea eind februari 2022 bezig was met het upgraden van het door haar gebruikte smart contract, juist om de hiervoor genoemde problemen te verhelpen, zodat oude, inactieve aanbiedingen verlopen en wordt voorkomen dat NFTs per ongeluk worden verkocht tegen prijzen die onder de marktprijs liggen, heeft een hacker/hackers opnieuw toegeslagen. OpenSea kondige deze contractupgrade eerder in de maand aan via een e-mail:
Het lijkt nu zo te zijn dat de hacker gebruik heeft gemaakt van een standaard phishing-e-mail door deze echte OpenSea e-mail te kopiëren, en zo een aantal mensen machtigingen heeft laten ondertekenen met Wyvern Exchange. De hacker kon op deze manier de NFTs van de gebruikers overnemen en verhandelen op Wyvern Exchange, een gedecentraliseerde beurs die draait op Ethereum en stelt mensen in staat om activa op dit netwerk te verhandelen zonder tussenkomst van derden. Mensen zijn dus op deze manier misleid door een neppe e-mail van OpenSea.
Op zondag 20 februari 2022 heeft de CEO van OpenSea, Devin Finzer, bevestigd dat het is getroffen door een phishing aanval. Hij voegde eraan toe dat tot nu toe 32 slachtoffers zijn geïdentificeerd en het erop lijkt dat de hacker enkele van de gestolen NFTs heeft teruggegeven. Op 20 februari 2022 bevatte het walletadres dat is gekoppeld aan de phishing aanval zo'n 641 ETH, ter waarde van ongeveer 1,7 miljoen dollar tegen het huidige markttarief. Het ging onder andere om 17 Azuki, 3 Bored Ape Yacht Club, 2 Cool Cats, en 2 Mutant Ape Yacht Clubs NFTs.
Op Twitter werd vervolgens veel kritiek geuit op OpenSea. De phishing e-mail was namelijk een exacte kopie van de echte e-mail van OpenSea en was daardoor moeilijk te onderscheiden. OpenSea heeft momenteel nog geen mogelijkheid tot een anti-phishing code ingevoerd, die je kunt instellen om zeker te weten dat de e-mails echt afkomstig zijn van OpenSea en dit voorkomen had kunnen worden. Ook heeft OpenSea gebruikers niet goed geïnformeerd over de beveiligingsproblemen die speelden, waardoor gebruikers meer alert hadden kunnen zijn op dit soort praktijken. Aan de andere kant is het natuurlijk altijd erg belangrijk om zelf goed te controleren waarvoor je toestemming geeft en tekent, al is de hacker in dit geval erg sluw te werk te gaan.
Rechtszaak tegen OpenSea
Eén van de slachtoffers van deze beveiligingsproblemen bij OpenSea, Timothy McKimmy, heeft inmiddels een rechtszaak aangespannen tegen OpenSea en vordert daarin 1 miljoen dollar aan schadevergoeding. McKimmy is van mening dat OpenSea nalatigheid heeft gehandeld, omdat het platform na verschillende meldingen heeft nagelaten om snel actie te ondernemen om de kritieke kwetsbaarheid te verhelpen. Hierdoor is hij een Bored Ape NFT verloren.
Op 7 februari 2022 werd Bored Ape #3475 plotseling verkocht voor slechts 0,01 ETH ($26). Kort daarna flipte de hacker de NFT voor zo'n 98,9 ETH ($308.445). Volgens McKimmy had hij de NFT niet gelist en heeft de verkoop zonder zijn toestemming plaatsgevonden. Hij betaalde in december 2021 zelf 55 ETH voor de NFT. Zijn verlies is dus sowieso 55 ETH + een potentieel verlies van minstens 43,9 ETH. Gezien de populariteit van de Bored Ape Yacht Club NFTs zal de toekomstige waarde hiervan echter nog veel hoger kunnen liggen.
De vermeende kwetsbaarheden van het platform waren niet onbekend bij OpenSea, beweert McKimmy. Hij stelt dat OpenSea "op de hoogte was van beveiligingsproblemen in haar platform", en dat ondanks "volledige kennis van deze beveiligingsproblemen, het populaire NFT platform haar gebruikers niet goed heeft geïnformeerd en niet tijdig adequate veiligheidsmaatregelen heeft getroffen." In plaats van haar platform af te sluiten "om deze beveiligingsproblemen aan te pakken en op te lossen", ging OpenSea gewoon door met werken. Daarbij heeft OpenSea - als de grootste marktplaats voor NFTs met een waardering van zo'n $13 miljard en een selectie van meer dan 80 miljoen NFTs - "de veiligheid van de NFTs en digitale wallets van haar gebruikers op het spel gezet om ononderbroken door te gaan met het incasseren van 2,5 procent van elke transactie.”
Door op deze manier te handelen, stelt McKimmy dat OpenSea haar zorgplicht heeft geschonden "door geen beleid en procedures te implementeren om beveiligingsschendingen te voorkomen, detecteren, reageren op, inperken en/of corrigeren.” Verder zou OpenSea er niet in geslaagd zijn om de integriteit van haar systemen te beschermen en McKimmy en andere gebruikers van het platform tijdig op de hoogte te stellen en te waarschuwen voor "de omvang en ernst van kwetsbaarheden op het platform", hoewel dergelijke gebruikers "verwachtten dat de beveiligingspraktijken van OpenSea zouden voldoen aan wet- en regelgeving” en ook verwachtten dat OpenSea “wallets die op haar platform waren aangesloten redelijkerwijs zou beschermen”.
Na meerdere keren tevergeefs geprobeerd te hebben de kwestie op te lossen met OpenSea, die er niet in is geslaagd om de transactie terug te draaien of een andere adequate oplossing te bieden, is McKimmy de rechtszaak gestart en heeft daarbij het aanzienlijke bedrag van 1 miljoen dollar aan schadevergoeding gevorderd. Volgens McKimmy heeft de gestolen Bored Ape NFT ongetwijfeld een aanzienlijk hoge waarde, die wordt geschat op in de miljoenen dollars en elke dag groeit. McKimmy heeft de rechtszaak tegen OpenSea echter niet alleen aangespannen om zijn geldelijke schade vergoed te krijgen, maar ook om "de belangen te beschermen van andere NFT-eigenaren uit landen over de hele wereld die het platform van OpenSea gebruiken". Hij wil OpenSea op deze manier dwingen om voldoende veiligheidsmaatregelen te nemen en de bekende kwetsbaarheden aan te pakken. Volgens zijn advocaat zal dit geschil waarschijnlijk in arbitrage eindigen.
OpenSea heeft op dit moment nog niet gereageerd op deze zaak.
Conclusie
OpenSea is momenteel dé populairste marktplaats om NFTs te kopen, verkopen en te minten, maar de beveiliging van het platform is niet optimaal. De beveiligingsproblemen van de afgelopen maanden zijn hier een voorbeeld van. En dat is wellicht iets waar veel gebruikers niet bij stil hebben gestaan, maar hierdoor wel veel risico lopen. Daarnaast lijkt OpenSea gebruikers niet goed te informeren over deze problemen. Er komen dan ook steeds meer geluiden dat de gouden tijden van OpenSea erop zitten en op zoek wordt gegaan naar alternatieven.
Als je op dit moment NFTs op OpenSea hebt staan, ook al staan ze niet (meer) gelist, wees dan dus gewaarschuwd en controleer bijvoorbeeld ook nog eens goed waarvoor je derden allemaal precies toestemming hebt gegeven met betrekking tot je wallet en trek deze toestemming bij twijfel in en/of verbreek zonodig de verbinding met de verbonden websites.
Wil jij meer weten over NFTs, beveiliging of over crypto in het algemeen? Word dan lid van onze AllesOverCrypto Facebookgroep of neem een kijkje op het Crypto Forum! Laat het ons ook weten als je zelf interessante ideeën hebt over een blog-onderwerp. Wie weet schrijven we de volgende keer wel voor jou. Heb je andere crypto gerelateerde vragen? Het makkelijkste is om jouw vraag op onze FAQ-pagina op te zoeken. Wat je ook kan doen, is dat je jouw vraag + AllesOverCrypto googelt.
Header afbeelding: Vladimir Kazakov/Shutterstock
