Cumartesi günü, saldırganlar OpenSea kullanıcılarından yüzlerce NFT çaldı ve sitenin geniş kullanıcı tabanında gece geç saatlerde paniğe neden oldu. bir elektronik tablo Blockchain güvenlik hizmeti PeckShield tarafından derlenen, saldırı sırasında Decentraland ve Bored Ape Yacht Club’dan tokenlar da dahil olmak üzere çalınan 254 tokeni saydı.
Saldırıların büyük kısmı, toplamda 32 kullanıcıyı hedef alarak 17:00 ile 20:00 ET arasında gerçekleşti. Web3 Harika Gidiyor blogunu yöneten Molly White, çalınan jetonların değerini şu anda tahmin etti: 1,7 milyon dolardan fazla.
Saldırı bir esneklikten yararlanmış gibi görünüyor Wyvern Protokolü, OpenSea’de yapılanlar da dahil olmak üzere çoğu NFT akıllı sözleşmesinin altında yatan açık kaynak standardı. Bir açıklama (bağlantılı CEO Devin Finzer Twitter’dan) saldırıyı iki bölümde tanımladı: ilk olarak, hedefler genel bir yetkilendirme ile kısmi bir sözleşme imzaladı ve büyük bölümleri boş bıraktı. İmza yerindeyken, saldırganlar, NFT’lerin sahipliğini ödeme yapmadan devreden kendi sözleşmelerine yapılan bir çağrıyla sözleşmeyi tamamladılar. Özünde, saldırının hedefleri boş bir çek imzalamıştı – ve imzalandıktan sonra, saldırganlar elindekileri almak için çekin geri kalanını doldurdu.
“Her işlemi kontrol ettim” dedi Kullanıcı, Neso’dan kim geçiyor. “Hepsinin NFT’lerini kaybeden insanlardan geçerli imzaları var, bu nedenle kimlik avına uğramadığını ancak NFT’leri kaybettiğini iddia eden herkes ne yazık ki yanlış.”
Son zamanlardaki bir finansman turunda 13 milyar dolar değerinde olan OpenSea, NFT patlamasının en değerli şirketlerinden biri haline geldi ve kullanıcıların doğrudan blok zinciri ile etkileşime girmeden belirteçleri listelemesi, göz atması ve teklif vermesi için basit bir arayüz sağladı. Şirket, kullanıcıların değerli varlıklarını çalmak için eski sözleşmelerden yararlanan veya jetonları zehirleyen saldırılarla mücadele ettiğinden, bu başarı önemli güvenlik sorunlarıyla birlikte geldi.
OpenSea, saldırı gerçekleştiğinde sözleşme sistemini güncelleme sürecindeydi, ancak OpenSea, saldırının yeni sözleşmelerden kaynaklandığını reddetti. Nispeten az sayıda hedef, böyle bir güvenlik açığını olası kılmaz, çünkü daha geniş platformdaki herhangi bir kusurdan çok daha büyük bir ölçekte yararlanılabilir.
Yine de, saldırının birçok ayrıntısı belirsizliğini koruyor – özellikle saldırganların yarı boş sözleşmeyi imzalamak için hedefleri yakalamak için kullandıkları yöntem. OpenSea CEO’su Devin Finzer, 03:00 ET’den kısa bir süre önce Twitter’da yazan saldırıların, saldırılardan kaynaklanmadığını söyledi. OpenSea’nin web sitesi, çeşitli listeleme sistemleriveya şirketten herhangi bir e-posta. Saldırının hızlı temposu – birkaç saat içinde yüzlerce işlem – bazı ortak saldırı vektörlerini akla getiriyor, ancak şu ana kadar hiçbir bağlantı keşfedilmedi.
Finzer, Twitter’da “Phishing saldırısının tam doğası hakkında daha fazla bilgi edindikçe sizi güncel tutacağız” dedi. “Yararlı olabilecek özel bilgileriniz varsa, lütfen DM @opensea_support”
Emma Roth da raporlamaya katkıda bulundu.