I lørdags stjal angribere hundredvis af NFT'er fra OpenSea-brugere, hvilket forårsagede en sen nat panik blandt webstedets brede brugerbase. Et regneark udarbejdet af blockchain-sikkerhedstjenesten PeckShield talte 254 tokens stjålet i løbet af angrebet, inklusive tokens fra Decentraland og Bored Ape Yacht Club.
Størstedelen af angrebene fandt sted mellem kl. 17.00 og 20.00 ET, målrettet mod 32 brugere i alt. Molly White, der driver bloggen Web3 is Going Great, anslog værdien af de stjålne tokens til mere end $1,7 millioner.
“De har alle gyldige signaturer”
Angrebet ser ud til at have udnyttet en fleksibilitet i Wyvern-protokollen, den open source-standard, der ligger til grund for de fleste NFT-smarte kontrakter, inklusive dem, der er lavet på OpenSea. En forklaring (linket af CEO Devin Finzer på Twitter) beskrev angrebet i to dele: For det første underskrev mål en delkontrakt med en generel autorisation og store dele efterladt tomme. Med signaturen på plads afsluttede angriberne kontrakten med et opkald til deres egen kontrakt, som overførte ejerskabet af NFT'erne uden betaling. I det væsentlige havde målene for angrebet underskrevet en blankocheck – og når den var underskrevet, udfyldte angriberne resten af checken for at tage deres besiddelser.
“Jeg tjekkede hver transaktion, ” sagde brugeren, som går forbi Neso. “De har alle gyldige signaturer fra de mennesker, der har mistet NFT'er, så enhver, der påstår, at de ikke blev phished, men mistede NFT'er, er desværre forkert.”
Med en værdi af 13 milliarder dollars i en nylig finansieringsrunde er OpenSea blevet en af de mest værdifulde virksomheder i NFT-boomet, hvilket giver en enkel grænseflade for brugere at liste, gennemse og byde på tokens uden at interagere direkte med blockchain. Den succes er kommet med betydelige sikkerhedsproblemer, da virksomheden har kæmpet med angreb, der udnyttede gamle kontrakter eller forgiftede tokens til at stjæle brugernes værdifulde besiddelser.
OpenSea var i gang med at opdatere sit kontraktsystem, da angrebet fandt sted, men OpenSea har afvist, at angrebet stammer fra de nye kontrakter. Det relativt lille antal mål gør en sådan sårbarhed usandsynlig, da enhver fejl i den bredere platform sandsynligvis ville blive udnyttet i langt større skala.
Alligevel er mange detaljer om angrebet uklare. — især den metode, angriberne brugte til at få mål til at underskrive den halvtomme kontrakt. Ved at skrive på Twitter kort før kl. 03:00 ET sagde OpenSea CEO Devin Finzer, at angrebene ikke stammede fra OpenSeas hjemmeside, dets forskellige noteringssystemer eller nogen e-mails fra virksomheden. Det hurtige tempo i angrebet – hundredvis af transaktioner i løbet af få timer – antyder en almindelig angrebsvektor, men indtil videre er der ikke fundet nogen forbindelse.
“Vi beholder dig opdateret, efterhånden som vi lærer mere om den nøjagtige karakter af phishing-angrebet,” sagde Finzer på Twitter. “Hvis du har specifikke oplysninger, der kunne være nyttige, bedes du sende en DM til @opensea_support.”
Emma Roth bidrog også med rapportering.