Mon. Sep 26th, 2022

På lördagen stal angripare hundratals NFT från OpenSea-användare, vilket orsakade panik sent på kvällen bland sajtens breda användarbas. Ett kalkylblad sammanställt av blockchain-säkerhetstjänsten PeckShield räknade 254 tokens stulna under attacken, inklusive tokens från Decentraland och Bored Ape Yacht Club, med huvuddelen av attackerna mellan 17:00 och 20:00 ET.

Molly White, som driver bloggen Web3 is Going Great, uppskattade värdet på de stulna polletterna till mer än 1,7 miljoner dollar.

OpenSea sa till en början att 32 användare hade drabbats, men ändrade senare den siffran till 17, och sa att 15 av de initiala antalet hade interagerat med angriparen men inte förlorat tokens som ett resultat.

“DE HAR ALLA GILTIGA SIGNATER”

Attacken verkar ha utnyttjat en flexibilitet i Wyvern-protokollet, den öppen källkodsstandard som ligger till grund för de flesta NFT-smarta kontrakt, inklusive de som görs på OpenSea. En förklaring (länkad av vd Devin Finzer på Twitter) beskrev attacken i två delar: för det första skrev mål på ett delkontrakt, med ett allmänt tillstånd och stora delar lämnade tomma. Med signaturen på plats fullbordade angriparna kontraktet med en uppmaning till sitt eget kontrakt, som överförde äganderätten till NFT:erna utan betalning. I huvudsak hade målen för attacken undertecknat en blankocheck – och när den väl undertecknades fyllde angriparna i resten av checken för att ta deras innehav.

“Jag kontrollerade varje transaktion”, sa användaren, som går förbi Neso. “De har alla giltiga signaturer från personerna som förlorade NFTs så alla som påstår att de inte blev nätfiskade men förlorade NFTs har tyvärr fel.”

Värderat till 13 miljarder dollar i en nyligen genomförd finansieringsrunda, har OpenSea blivit ett av de mest värdefulla företagen i NFT-boomen, vilket ger ett enkelt gränssnitt för användare att lista, bläddra och bjuda på tokens utan att interagera direkt med blockkedjan. Den framgången har kommit med betydande säkerhetsproblem, eftersom företaget har kämpat med attacker som utnyttjade gamla kontrakt eller förgiftade tokens för att stjäla användarnas värdefulla innehav.

OpenSea var i färd med att uppdatera sitt kontraktssystem när attacken ägde rum, men OpenSea har förnekat att attacken har sitt ursprung i de nya kontrakten. Det relativt lilla antalet mål gör en sådan sårbarhet osannolik, eftersom eventuella brister i den bredare plattformen sannolikt skulle utnyttjas i mycket större skala.

Ändå är många detaljer om attacken fortfarande oklara

särskilt metoden som angripare använde för att få mål att skriva på det halvtomma kontraktet. OpenSeas vd Devin Finzer skrev på Twitter strax före 03:00 ET och sa att attackerna inte hade sitt ursprung från OpenSeas webbplats, dess olika listsystem eller några e-postmeddelanden från företaget. Attackens snabba takt – hundratals transaktioner på några timmar – antyder någon vanlig attackvektor, men hittills har ingen koppling upptäckts.

By Adam

If you want to contribute kindly contact at [email protected] or [email protected] also you can buy guest posts from our other different sites and write post for us.

Leave a Reply

Your email address will not be published.