В субботу злоумышленники украли сотни NFT у пользователей OpenSea, вызвав ночную панику среди широкой базы пользователей сайта. Электронная таблица, составленная службой безопасности блокчейна PeckShield, насчитала 254 токена, украденных в ходе атаки, включая токены из Decentraland и яхт-клуба Bored Ape.
Основная часть атак произошла между 5 вечера и 8 вечера по восточному времени, в общей сложности они были нацелены на 32 пользователя. Молли Уайт, ведущая блог Web3 is Going Great, оценила стоимость украденных токенов более чем в 1,7 миллиона долларов.
“У всех них есть действительные подписи”
Похоже, что атака использовала гибкость протокола Wyvern, стандарта с открытым исходным кодом, лежащего в основе большинства смарт-контрактов NFT, в том числе созданных на OpenSea. Одно из объяснений (связанное генеральным директором Девином Финцером в Твиттере) описывало атаку в двух частях: во-первых, цели подписали частичный контракт с общим разрешением, а большие части остались пустыми. Имея подпись на месте, злоумышленники завершили контракт призывом к своему собственному контракту, который передавал право собственности на NFT без оплаты. По сути, цели атаки подписали пустой чек — и как только он был подписан, злоумышленники заполнили остальную часть чека, чтобы забрать свои активы.
“Я проверил каждую транзакцию», — сказал пользователь, которого зовут Neso. “У всех них есть действительные подписи людей, которые потеряли NFT, поэтому любой, кто утверждает, что они не были фишированы, но потеряли NFT, к сожалению, ошибается”.
Оцененная в 13 миллиардов долларов в недавнем раунде финансирования, OpenSea стала одной из самых ценных компаний бума NFT, предоставляя пользователям простой интерфейс для перечисления, просмотра и размещения ставок на токены, не взаимодействуя напрямую с блокчейном. Этот успех был связан со значительными проблемами безопасности, поскольку компания боролась с атаками, которые использовали старые контракты или отравленные токены для кражи ценных активов пользователей.
OpenSea находилась в процессе обновления своей контрактной системы, когда произошла атака, но OpenSea отрицает, что атака была вызвана новыми контрактами. Относительно небольшое число целей делает такую уязвимость маловероятной, поскольку любой недостаток в более широкой платформе, скорее всего, будет использоваться в гораздо больших масштабах.
Тем не менее, многие детали атаки остаются неясными — особенно метод, который злоумышленники использовали, чтобы заставить цели подписать полупустой контракт. Написав в Твиттере незадолго до 3 часов ночи по восточному времени, генеральный директор OpenSea Девин Финцер заявил, что атаки не исходили с веб-сайта OpenSea, его различных систем листинга или каких-либо электронных писем от компании. Быстрый темп атаки — сотни транзакций за считанные часы — наводит на мысль о каком-то общем векторе атаки, но пока никакой связи обнаружено не было.
“Мы будем держать вас в курсе событий по мере того, как узнаем больше о точном характере фишинговой атаки”, — написал Финцер в Twitter. “Если у вас есть конкретная информация, которая может быть полезной, пожалуйста, напишите @opensea_support”.
Эмма Рот также внесла свой вклад в репортаж.
Источник: