El sábado, los atacantes robaron cientos de NFT de los usuarios de OpenSea, lo que provocó un pánico noctívago entre la amplia pulvínulo de usuarios del sitio. Una hoja de cálculo compilado por el servicio de seguridad de blockchain PeckShield contó 254 tokens robados en el transcurso del ataque, incluidos tokens de Decentraland y Bored Ape Yacht Club.
La viejo parte de los ataques tuvo extensión entre las 5:00 p. m. y las 8:00 p. m. ET, y se dirigió a 32 usuarios en total. Molly White, que dirige el blog Web3 is Going Great, estimó el valencia de los tokens robados en más de $1.7 millones.
El ataque parece poseer explotado una flexibilidad en el protocolo wyvern, el unificado de código libre subyacente a la mayoría de los contratos inteligentes NFT, incluidos los realizados en OpenSea. Una explicación (vinculada por el CEO Devin Finzer en Twitter) describió el ataque en dos partes: primero, los objetivos firmaron un acuerdo parcial, con una autorización militar y gran parte en blanco. Con la firma en su extensión, los atacantes completaron el acuerdo con una convocatoria a su propio acuerdo, que transfirió la propiedad de los NFT sin suscripción. En esencia, los objetivos del ataque habían firmado un cheque en blanco y, una vez firmado, los atacantes completaron el resto del cheque para tomar sus posesiones.
“Revisé cada transacción”, dijo el usuario, que pasa por Neso. «Todos tienen firmas válidas de las personas que perdieron NFT, por lo que cualquier persona que afirme que no fue víctima de phishing pero perdió NFT está lamentablemente equivocada».
Valorado en 13.000 millones de dólares en una ronda de financiación fresco, OpenSea se ha convertido una de las empresas más valiosas del auge de NFT, proporcionando una interfaz simple para que los usuarios enumeren, exploren y ofrezcan tokens sin interactuar directamente con la cautiverio de bloques. Ese éxito se ha producido con importantes problemas de seguridad, ya que la empresa ha luchado con ataques que aprovecharon contratos antiguos o fichas envenenadas para robar las posesiones valiosas de los usuarios.
OpenSea estaba en proceso de poner al día su sistema de contratos cuando se produjo el ataque, pero OpenSea ha inútil que el ataque se haya originado con los nuevos contratos. El número relativamente pequeño de objetivos hace que tal vulnerabilidad sea poco probable, ya que cualquier error en la plataforma más amplia probablemente se explotaría a una escalera mucho viejo.
Aún así, muchos detalles del ataque siguen sin estar claros, en particular el método que usaron los atacantes para alcanzar que los objetivos firmaran el acuerdo medio infructifero. Escribiendo en Twitter poco antiguamente de las 3 a.m. ET, el CEO de OpenSea, Devin Finzer, dijo que los ataques no se habían originado en Sitio web de OpenSea, sus diversos sistemas de listadoo cualquier correo electrónico de la empresa. El rápido ritmo del ataque (cientos de transacciones en cuestión de horas) sugiere algún vector popular de ataque, pero hasta el momento no se ha descubierto ningún vínculo.
“Los mantendremos informados a medida que aprendamos más sobre la naturaleza exacta del ataque de phishing”, dijo Finzer en Twitter. “Si tiene información específica que podría ser útil, por confianza envíe un DM @opensea_support.”
Emma Roth además contribuyó con el reportaje.