W miniony weekend cyberprzestępcy wykradli setki NFT użytkownikom OpenSea, co jak nietrudno się domyślić, wywołało panikę wśród użytkowników tej giełdy. Arkusz kalkulacyjny skompilowany przez serwis bezpieczeństwa blockchain PeckShield wyliczył 254 tokeny skradzione w trakcie ataku, w tym takie słynne jak Decentraland i Bored Ape Yacht Club.
Większość ataków miała miejsce z soboty na niedzielę godzinach od 23:00 do 02:00 naszego czasu. Wartość skradzionych tokenów od 32 użytkowników OpenSea szacowana jest na ponad 1,7 miliona dolarów. Wydaje się, że atak wykorzystywał elastyczność protokołu Wyvern, standardu open source, na którym opiera się większość inteligentnych kontraktów NFT, w tym te wykonane na OpenSea. Jeden ze scenariuszy zakłada, że cele podpisały częściową umowę z ogólnym upoważnieniem i dużymi pustymi fragmentami. Po złożeniu podpisu napastnicy uzupełnili umowę wezwaniem do własnego kontraktu, który przeniósł własność NFT bez zapłaty. Zasadniczo cele ataku podpisały czek in blanco, a po jego podpisaniu napastnicy wypełnili resztę, aby przejąć aktywa. „Sprawdzałem każdą transakcję” – powiedział użytkownik o pseudonimie Neso. „Wszyscy mają ważne podpisy osób, które straciły NFT, więc każdy, kto twierdzi, że nie padł ofiarą phishingu, ale stracił NFT, jest niestety w błędzie”.
W miniony weekend cyberprzestępcy wykradli setki NFT użytkownikom OpenSea, co jak nietrudno się domyślić, wywołało panikę wśród użytkowników tej giełdy.
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea's website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
Giełda OpenSea, której wartość wyceniana jest 13 miliardów dolarów, to dziecko ostatniego boomu na NFT. Ta zapewnia użytkownikom prosty interfejs do wystawiania, przeglądania i licytowania tokenów bez bezpośredniej interakcji z blockchainem. Jej sukces wiąże się z poważnymi problemami z bezpieczeństwem, ponieważ firma zmagała się z atakami wykorzystującymi stare kontrakty lub tzw. zatrute tokeny w celu kradzieży cennych zasobów użytkowników.
If you are an affected user, please DM @opensea_support so that we can thoroughly investigate — we’d love your help.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
OpenSea był w trakcie aktualizowania swojego systemu kontraktów, kiedy doszło do ataku, ale firma zaprzecza, jakoby atak był wynikiem nowych kontraktów. Stosunkowo niewielka liczba celów sprawia, że taka podatność jest mało prawdopodobna, ponieważ każda luka o szerszym zakresie prawdopodobnie zostałaby wykorzystana na znacznie większą skalę. Mimo to wiele szczegółów ataku pozostaje niejasnych — w szczególności metoda wykorzystywana przez atakujących do nakłonienia celów do podpisania w połowie pustej umowy. Dyrektor generalny OpenSea Devin Finzer powiedział, że ataki nie pochodziły ze strony internetowej giełdy, jej różnych systemów notowań ani żadnych e-maili od firmy. Szybkie tempo ataku — setki transakcji w ciągu kilku godzin — sugeruje pewien wspólny wektor ataku, ale jak dotąd nie odkryto żadnego powiązania.
„Będziemy Was informować na bieżąco, gdy dowiemy się więcej o dokładnej naturze ataku phishingowego” – napisał Finzer na Twitterze. „Jeśli macie konkretne informacje, które mogą być przydatne, skontaktujcie się z bezpośrednio z @opensea_support”.
Zobacz także:
- Windows 11 otrzyma funkcję, którą docenią gracze
- Chciał pozbawić dzieci dostępu do internetu. Odciął od sieci całe miasto
- Amazon usuwa Black Lives Matter ze swojej platformy charytatywnej
Pokaż / Dodaj komentarze do: Z giełdy OpenSea wykradziono NFT o wartości ponad 1,7 miliona dolarów