• Mon. Jun 27th, 2022

CNTech News

Senaste tekniska nyheter och uppdateringar

1,7 miljoner dollar i NFT:er som stulits i uppenbar nätfiskeattack mot OpenSea-användare

Feb 22, 2022

På lördagen stal angripare hundratals NFT från OpenSea-användare, vilket orsakade panik sent på kvällen bland sajtens breda användarbas. Ett kalkylblad sammanställt av blockchain-säkerhetstjänsten PeckShield räknade 254 tokens stulna under attacken, inklusive tokens från Decentraland och Bored Ape Yacht Club.

Huvuddelen av attackerna ägde rum mellan 17:00 och 20:00 ET och riktade sig till totalt 32 användare. Molly White, som driver bloggen Web3 is Going Great, uppskattade värdet på de stulna polletterna till mer än 1,7 miljoner dollar.

Attacken verkar ha utnyttjat en flexibilitet i Wyvern-protokollet, den öppen källkodsstandard som ligger till grund för de flesta NFT-smarta kontrakt, inklusive de som görs på OpenSea. En förklaring (länkad av vd Devin Finzer på Twitter) beskrev attacken i två delar: för det första skrev mål på ett delkontrakt, med ett allmänt tillstånd och stora delar lämnade tomma. Med signaturen på plats fullbordade angriparna kontraktet med en uppmaning till sitt eget kontrakt, som överförde äganderätten till NFT:erna utan betalning. I huvudsak hade målen för attacken undertecknat en blankocheck – och när den väl undertecknades fyllde angriparna i resten av checken för att ta deras innehav.

“Jag kontrollerade varje transaktion”, sa användaren, som går förbi Neso. “De har alla giltiga signaturer från personerna som förlorade NFTs så alla som påstår att de inte blev nätfiskade men förlorade NFTs har tyvärr fel.”

Värderat till 13 miljarder dollar i en nyligen genomförd finansieringsrunda, har OpenSea blivit ett av de mest värdefulla företagen i NFT-boomen, vilket ger ett enkelt gränssnitt för användare att lista, bläddra och bjuda på tokens utan att interagera direkt med blockkedjan. Den framgången har kommit med betydande säkerhetsproblem, eftersom företaget har kämpat med attacker som utnyttjade gamla kontrakt eller förgiftade tokens för att stjäla användarnas värdefulla innehav.

OpenSea var i färd med att uppdatera sitt kontraktssystem när attacken ägde rum, men OpenSea har förnekat att attacken har sitt ursprung i de nya kontrakten. Det relativt lilla antalet mål gör en sådan sårbarhet osannolik, eftersom eventuella brister i den bredare plattformen sannolikt skulle utnyttjas i mycket större skala.

Ändå är många detaljer om attacken fortfarande oklara – särskilt metoden som angripare använde för att få mål att skriva på det halvtomma kontraktet. OpenSeas vd Devin Finzer skrev på Twitter strax före 03:00 ET och sa att attackerna inte hade sitt ursprung från OpenSeas webbplats, dess olika listsystem eller några e-postmeddelanden från företaget. Attackens snabba takt – hundratals transaktioner på några timmar – antyder någon vanlig attackvektor, men hittills har ingen koppling upptäckts.