Digital
Wirtschaft

Gefälschtes OpenSea-E-Mail: Phisher stiehlt NFTs im Wert von Millionen

Wer sich heute bei der NFT-Plattform OpenSea einloggt, wird aufgefordert, die Web-Adresse zu überprüfen.
Wer sich heute bei der NFT-Plattform OpenSea einloggt, wird aufgefordert, die Web-Adresse zu überprüfen.Bild: Screenshot OpenSea.io

Gefälschtes OpenSea-E-Mail: Phisher stiehlt NFTs im Wert von Millionen

21.02.2022, 18:01
Mehr «Digital»

Einem Internet-Betrüger ist es am Wochenende gelungen, NFTs (digitale Kunst- und Sammelobjekte) im Wert von mehreren Millionen Dollar zu erbeuten. Dafür kopierte er eine E-Mail der grössten NFT-Tauschbörse OpenSea und versetzte diese mit Links zu manipulierten Verträgen. Bei genauerem Hinsehen wären diese als solche zu erkennen gewesen. Trotzdem klickten diverse NFT-Besitzer einmal zu viel.

Dem Täter spielte in die Hände, dass OpenSea aktuell seine Verträge (Smart-Contracts) updated und per Mail seine Kunden dazu aufruft, zum Verkauf angebotene NFTs in einen neuen Vertrag zu migrieren. Die dazu nötige Berechtigung können eingeloggte User mit einem Klick erteilen.

Genau das glaubten die Geschädigten zu tun. Anstelle einer harmlosen Berechtigung für eine Migration erteilten sie aber dem Dieb die Berechtigung, das entsprechende NFT kostenlos zu übernehmen.

Der digitale Langfinger ging dabei sehr wählerisch vor. Die Crème de la Crème seines Raubs bot er zum Verkauf an – zum Teil für die Hälfte des Marktwertes. So gelangen ihm zahlreiche Verkäufe. Weniger wertvolle NFTs transferierte er den Geschädigten umgehend zurück.

Zu den erbeuteten NFTs gehören unter anderem drei «Bored Ape Yacht Club» (BAYC) im Wert von knapp einer Million Dollar, 36 «Azukis» (Gesamtsumme 1,2 Millionen) und 21 «NFT-World»-Welten (Gesamtsumme ca. 1 Million Dollar). Auch auf das von Nike erworbene Projekt «CloneX» und auf Adidas-NFTs hatte es der Übeltäter abgesehen.

Weil die Transaktionen auf der einfach zurückverfolgbaren Ethereum-Blockchain getätigt wurden, kann der Tatverlauf auch von Laien leicht reproduziert werden. Die entsprechende Adresse wurde mittlerweile mit dem Zusatz Fake_Phishing5169 versehen. Dabei sind einige erstaunliche Dinge ersichtlich.

Der Rosinenpicker-Dieb: Fake_Phishing5169 beschafft sich den Doodle #4687 (zweitunterste Zeile) und sendet ihn umgehend wieder zurück (drittoberste Zeile). Der Wert dieses Doodles (Stand 21.2.2022): 3 ...
Der Rosinenpicker-Dieb: Fake_Phishing5169 beschafft sich den Doodle #4687 (zweitunterste Zeile) und sendet ihn umgehend wieder zurück (drittoberste Zeile). Der Wert dieses Doodles (Stand 21.2.2022): 34'000 Dollar. Auch die verschmähte Cool Cat #9726 hat einen Wert von knapp 27'000 Dollar.bild: screenshot etherscan

Mindestens drei NFTs der Kollektion «Mutant Ape Yacht Club» wurden an die Besitzer zurückgesendet. Der Wert der drei Mutanten: 144'000 Dollar. Auch die Kollektion «mfers» tat es dem Deliquenten nicht an. Mindestens sechs der neun entwendeten Meme-Bildchen im Wert von 94'000 Dollar gingen zurück an ihre rechtmässigen Besitzer.

Zunächst hatten diverse Unklarheiten der Phishing-Aktion die NFT-Szene in Angst und Schrecken versetzt. Das Ausmass des Betruges wurde zuerst auf bis zu 200 Millionen geschätzt. Ausserdem behaupteten angeblich Betroffene, ihre Verluste wären nach der Interaktion mit einem tatsächlichen OpenSea-Vertrag zustande gekommen. Die Behauptungen erwiesen sich bisher als haltlos.

Was sind NFTs?
NFT steht für «Non-fungible tokens» – Münzen einer Blockchain. Im Gegensatz zu Bitcoin (BTC) und Ethereum (ETH), von denen auch Bruchteile existieren können, sind NF-Tokens unteilbar – und, auch das ist anders als bei BTC und ETH, sie sind einzigartig. Beim sogenannten «minting», der Prägung, werden NFTs mit Daten versehen. Diese sind danach untrennbar mit dem Token verschweisst.

Bei den als Kunst oder Teile einer Kollektion gehandelten NFTs handelt es sich bei diesen Daten mehrheitlich um Links auf die eigentlichen Werkträger (Jpgs oder Mp3s). Die viel umfangreicheren Bild- oder Musikdaten auf einen Token zu minten, würde sowohl die Prägung wie auch den späteren Handel um ein Vielfaches verteuern. Nur ganz wenige Projekte tun das.

Doch die Adressen-Methode ist nicht unproblematisch. Werden die eigentlichen Bild- oder Musikdaten auf einem simplen Server (zum Beispiel von Google oder Amazon) gelagert und dieser geht vom Netz, führt der Link des NFTs ins Leere. Der Besitzer ist gelackmeiert, der Sinn der komplizierten NFT-Übung mit einer dezentralen Blockchain ist dahin. Deshalb müssen auch die Daten dezentral gelagert werden. Eine Möglichkeit bietet das IPFS-Speichersystem (InterPlanetary File System). Es verfügt über keinen Single-Point-of-Failure. Auch Wikipedia greift darauf zurück. Für NFT-Projekte ist IPFS ein Indiz für Seriosität.

Zwei Teenager prügeln sich in den USA – nur der dunkelhäutige wird verhaftet

Video: watson
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Diese 12 Schauspieler sehen wie ihre Charaktere aus
1 / 14
Diese 12 Schauspieler sehen wie ihre Charaktere aus
Stephanie Beatriz als Mirabel Madrigal in «Encanto».
quelle: disney/ instagram
Auf Facebook teilenAuf X teilen
Hier trifft eine Monsterwelle die Hafenfähre in Hamburg
Video: watson
Das könnte dich auch noch interessieren:
22 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Ruefe
21.02.2022 20:14registriert August 2015
Hihi, NFTs im "Wert" von Millionen
1161
Melden
Zum Kommentar
avatar
Thurgauo
21.02.2022 19:59registriert November 2017
Was für eine Überraschung. Viele NFT-Besitzer sind doch nicht so technisch versiert.
530
Melden
Zum Kommentar
avatar
Tiny Rick
21.02.2022 20:04registriert Dezember 2014
NFT… No Fu**ing Thanks
531
Melden
Zum Kommentar
22
Platz da, Mario! Princess Peach lässt es in ihrem Solo-Abenteuer ordentlich krachen
Princess Peach muss in ihrem Solo-Abenteuer für die Nintendo Switch in zahlreiche Rollen schlüpfen, um diverse Showbühnen vor bösen Wesen zu befreien. Auch wenn das Game viel zu schnell durch ist, wartet eine innige Spielspass-Explosion auf euch.

Princess Peach hat es nicht einfach: Immer wieder wird sie von Superschurke Bowser entführt und muss darauf warten, dass Super Mario sie befreit und zurück in ihr Schloss geleitet.

Zur Story