Những kẻ tấn công đã đánh cắp hàng trăm NFT từ người dùng OpenSea, gây ra sự hoảng loạn của người dùng trên trang web. Một bảng tính do dịch vụ bảo mật blockchain PeckShield biên soạn đã đếm được 254 token bị đánh cắp trong quá trình tấn công, bao gồm các token từ Decentraland và Bored Ape Yacht Club.
Phần lớn các cuộc tấn công diễn ra từ 5 giờ chiều đến 8 giờ chiều giờ ET, nhắm mục tiêu tổng cộng 32 người dùng. Molly White, người điều hành blog Web3 is Going Great, ước tính giá trị của số token bị đánh cắp là hơn 1,7 triệu USD.
Cuộc tấn công dường như đã khai thác tính linh hoạt trong Giao thức Wyvern, tiêu chuẩn mã nguồn mở cho hầu hết các hợp đồng thông minh NFT, bao gồm cả những hợp đồng được thực hiện trên OpenSea. Một lời giải thích (bởi CEO Devin Finzer trên Twitter) đã mô tả cuộc tấn công thành hai phần: thứ nhất, các nạn nhân đã ký hợp đồng một phần, với ủy quyền chung và các phần khác bị bỏ trống. Với chữ ký đó, những kẻ tấn công đã hoàn thành hợp đồng bằng một lệnh gọi đến hợp đồng của chính họ, hợp đồng này đã chuyển quyền sở hữu các NFT mà không cần thanh toán. Về bản chất, các nạn nhân của cuộc tấn công đã ký vào một tấm séc trống – và khi nó đã được ký, những kẻ tấn công sẽ điền vào phần còn lại của tờ séc để chiếm lấy tài sản của họ.
“Tôi đã kiểm tra mọi giao dịch,” người dùng sử dụng Neso cho biết. “Tất cả đều có chữ ký hợp lệ từ những người bị mất NFT, vì vậy bất kỳ ai khẳng định họ không bị lừa đảo nhưng bị mất NFT đều sai.”
Được định giá 13 tỷ USD trong vòng gọi vốn gần đây, OpenSea đã trở thành một trong những công ty có giá trị nhất trong thời kỳ bùng nổ NFT, cung cấp một giao diện đơn giản cho người dùng để liệt kê, tìm kiếm và đặt giá thầu trên các token mà không cần tương tác trực tiếp với chuỗi khối. Thành công đó đi kèm với các vấn đề bảo mật quan trọng, vì công ty đã phải vật lộn với các cuộc tấn công tận dụng các hợp đồng cũ hoặc mã độc để đánh cắp tài sản có giá trị của người dùng.
OpenSea đang trong quá trình cập nhật hệ thống hợp đồng của mình khi cuộc tấn công xảy ra, nhưng OpenSea đã phủ nhận rằng cuộc tấn công bắt nguồn từ các hợp đồng mới. Với số lượng mục tiêu tương đối ít nên có lẽ lỗ hổng bảo mật như vậy khó xảy ra, vì bất kỳ lỗ hổng nào trong nền tảng đều có thể bị khai thác ở quy mô lớn hơn nhiều.
Tuy nhiên, nhiều chi tiết của cuộc tấn công vẫn chưa rõ ràng – đặc biệt là phương pháp mà những kẻ tấn công sử dụng để có được mục tiêu ký hợp đồng bị bỏ trống. Giám đốc điều hành của OpenSea, Devin Finzer cho biết các cuộc tấn công không bắt nguồn từ trang web của OpenSea, các hệ thống danh sách của nó hoặc bất kỳ email nào từ công ty. Tốc độ nhanh chóng của cuộc tấn công – hàng trăm giao dịch trong vài giờ – cho thấy một số phương tiện tấn công phổ biến, nhưng cho đến nay vẫn chưa phát hiện ra mối liên hệ nào.
“Chúng tôi sẽ cập nhật khi chúng tôi tìm hiểu thêm về bản chất chính xác của cuộc tấn công lừa đảo” Finzer cho biết trên Twitter.
