Nền tảng OpenSea vừa báo cáo một vụ đánh cắp hàng trăm NFT từ 32 người dùng.
Vào hôm thứ Bảy, những kẻ tấn công đã đánh cắp hàng trăm NFT từ người dùng OpenSea, gây ra sự hoảng loạn giữa đêm khuya trong cộng đồng. Theo bảng tính do dịch vụ bảo mật blockchain PeckShield biên soạn, 254 mã token đã bị đánh cắp, bao gồm từ cả Decentraland và Bored Ape Yacht Club.
Phần lớn các cuộc tấn công diễn ra từ 5 giờ chiều đến 8 giờ chiều theo giờ phương Tây (ET), nhắm mục tiêu tổng cộng 32 người dùng. Nhà điều hành trang blog “Web3 is Going Great” Molly White ước tính giá trị số token bị đánh cắp hơn 1,7 triệu USD.
Cuộc tấn công dường như đã khai thác tính linh hoạt trong Giao thức Wyvern, tiêu chuẩn mã nguồn mở nền tảng cho hầu hết các hợp đồng thông minh NFT, bao gồm cả trên OpenSea.
Một lời giải thích (được trích dẫn bởi Giám đốc điều hành Devin Finzer trên Twitter) mô tả cuộc tấn công bao gồm 2 phần: thứ nhất, các mục tiêu đã ký hợp đồng một phần, với ủy quyền chung và phần nội dung còn lại bỏ trống.
Tiếp theo, với chữ ký có sẵn, những kẻ tấn công đã hoàn thành hợp đồng bằng một lệnh gọi đến hợp đồng của chính họ và hợp đồng này sẽ chuyển quyền sở hữu các NFT mà không cần thanh toán.
Về bản chất, các mục tiêu của cuộc tấn công đã ký vào một tấm séc trắng và một khi nó đã được ký, những kẻ tấn công chỉ việc điền vào phần còn lại của tờ séc để chiếm lấy tài sản.
“Tôi đã kiểm tra mọi giao dịch,” người dùng Neso cho biết. “Tất cả đều có chữ ký hợp lệ từ người mất NFT. Vì vậy, bất kỳ ai khẳng định họ không bị lừa đảo nhưng lại mất NFT đều nhầm lẫn một cách đáng tiếc.”
Được định giá 13 tỷ USD trong vòng gọi vốn gần đây, OpenSea đã trở thành một trong những công ty có giá trị nhất trong thời kỳ bùng nổ NFT. Nền tảng này cung cấp một giao diện đơn giản cho người dùng để liệt kê, phê duyệt và đặt giá thầu các mã thông báo mà không cần tương tác trực tiếp với chuỗi khối.
Tuy nhiên, thành công đó cũng đi kèm với các vấn đề bảo mật đáng kể. Công ty không ít lần phải vật lộn với các đợt tấn công lợi dụng các hợp đồng cũ hoặc mã độc để đánh cắp tài sản có giá trị của người dùng.
OpenSea đang trong quá trình cập nhật hệ thống hợp đồng của mình khi vụ việc xảy ra, nhưng phủ nhận rằng cuộc tấn công bắt nguồn từ các hợp đồng mới. Do số lượng mục tiêu tương đối ít, nên khả năng khai thác một lỗ hổng bảo mật như vậy không cao. Bởi nếu thế thì quy mô ảnh hưởng phải lớn hơn nhiều vì đây là một nền tảng giao dịch rất phổ biến.
Tuy nhiên, nhiều chi tiết của cuộc tấn công vẫn chưa rõ ràng – đặc biệt là phương pháp mà bên tấn công sử dụng để khiến nạn nhân ký hợp đồng nửa trắng. Trên Twitter, Giám đốc điều hành Devin Finzer của OpenSea cho biết các cuộc tấn công không bắt nguồn từ trang web OpenSea, các hệ thống danh sách niêm yết của nó hoặc bất kỳ email nào từ công ty.
Tốc độ diễn biến chóng vánh, với hàng trăm giao dịch chỉ trong vài giờ, nhiều khả năng liên quan đến một số cách thức tấn công phổ biến, nhưng đến nay vẫn chưa phát hiện ra mối liên hệ nào.
“Chúng tôi sẽ tiếp tục cập nhật đến các bạn một khi tìm hiểu thêm về bản chất chính xác của vụ việc,” ông Finzer cho biết trên Twitter. “Nếu các bạn nắm những thông tin có thể hữu ích, xin vui lòng gửi tin nhắn đến @opensea_support.”
Theo theverge