El sábado, los atacantes robaron cientos de NFT de los usuarios de OpenSea, lo que provocó un pánico nocturno entre la amplia base de usuarios del sitio. hoja de cálculo Compilado por el servicio de seguridad de blockchain PeckShield, que contó 254 tokens robados en el transcurso del ataque, incluidos tokens de Decentraland y Bored Ape Yacht Club.
La mayor parte de los ataques tuvo lugar entre las 5 p. m. y las 8 p. m. ET, con un total de 32 usuarios como objetivo. Molly White, que dirige el blog Web3 is Going Great, estimó el valor de los tokens robados Más de 1,7 millones de dólares.
El ataque parece haberse aprovechado de la flexibilidad en Protocolo de wyvern, el estándar de código abierto detrás de la mayoría de los contratos inteligentes NFT, incluidos los realizados en OpenSea. Una interpretación (vinculada al CEO Devin Finzer en Twitter) Descripción del ataque en dos partes: Primero, los objetivos firmaron un contrato parcial, con un mandato general y dejando grandes partes vacías. Con la firma en su lugar, los atacantes completaron el contrato con una llamada a su propio contrato, que transfirió la propiedad de los NFT sin pago. Esencialmente, los objetivos del ataque firmaron un cheque en blanco; una vez firmado, los atacantes completaron el resto del cheque para tomar sus posesiones.
Dijo: «Revisé cada transacción» el usuarioQuien pasa por Nesso. «Todos tienen firmas válidas de personas que han perdido NFT, por lo que cualquier persona que afirme que no ha sido objeto de phishing pero que le faltan NFT es un triste error».
Con un valor de $ 13 mil millones en su última ronda de financiación, OpenSea se ha convertido Una de las empresas más valiosas en el auge de NFT, proporcionando una interfaz simple para que los usuarios enumeren, exploren y ofrezcan tokens sin interactuar directamente con la cadena de bloques. Este éxito ha venido acompañado de importantes problemas de seguridad, ya que la empresa ha sufrido ataques que se han beneficiado de ellos. décadas antiguas o Iconos envenenados Para robar valiosas posesiones de los usuarios.
OpenSea estaba en proceso de actualizar su sistema de contratos cuando ocurrió el ataque, pero OpenSea negó que el ataque se originara con los nuevos contratos. El número relativamente pequeño de objetivos hace que tal vulnerabilidad sea poco probable, ya que es probable que cualquier falla en la plataforma más amplia se explote mucho más.
Sin embargo, muchos detalles del ataque siguen sin estar claros, en particular el método utilizado por los atacantes para obtener objetivos para firmar un contrato medio vacío. El CEO de OpenSea, Devin Finzer, escribió en Twitter poco antes de las 3 a.m. ET, dijo que los ataques no se originaron en Sitio web de OpenSeaY el Varios sistemas de menúo Cualquier correo electrónico de la empresa.. El rápido ritmo del ataque (cientos de transacciones en cuestión de horas) apunta a algunos factores comunes del ataque, pero hasta el momento no se ha descubierto ninguna conexión.
“Los mantendremos informados a medida que aprendamos más sobre la naturaleza exacta de este ataque de phishing”, dijo Finzer en Twitter. Si tiene información específica que podría ser útil, por favor DM Tweet incrustado. «
Emma Roth también contribuyó a este informe.
