Мошенники украли сотни NFT у пользователей маркетплейса OpenSea. Электронная таблица, составленная блокчейн-сервисом PeckShield, насчитала 254 токена, украденных в ходе атаки, включая токены от Decentraland и Bored Ape Yacht Club. Молли Уайт, которая ведет блог Web3 is Going Great, оценила стоимость украденных токенов более чем в $1,7 млн.
Жертвами атаки стали 32 пользователя NFT-маркетплейса OpenSea, пишет The Verge. Мошенники могли использовать гибкость в протоколе Wyvern, стандарте с открытым исходным кодом, лежащем в основе большинства смарт-контрактов NFT, в том числе на OpenSea.
По версии генерального директора OpenSea Девина Финзера, хакеры получили право собственности на NFT без оплаты: они разослали пользователям соглашение с пустыми полями, которые позднее заполнили. Жертвы подписали пустой чек — и как только он был подписан, мошенники заполнили оставшуюся часть чека, чтобы получить активы.
«Я проверил каждую транзакцию, — сказал один из пользователей Twitter. — Во всех них действительно есть подписи от людей, которые потеряли NFT, поэтому любой, кто утверждает, что не был жертвой фишинга, но потерял NFT, к сожалению, ошибается».
OpenSea, получившая оценку в $13 млрд в недавнем раунде финансирования, стала одной из самых ценных NFT-компаний. Маркетплейс предоставляет пользователям простой интерфейс для торговли токенами без непосредственного взаимодействия с блокчейном.
Многие детали атаки остаются неясными, особенно метод, который хакеры использовали для отбора жертв, которым предложили подписать полупустое соглашение. Глава OpenSea Девин Финзер заявил, что атаки произошли ни с сайта OpenSea, ни с его систем листинга, ни через какие-либо электронные письма от компании.
Скорость атаки — сотни транзакций за считанные часы — указывает на некоторый общий вектор, но пока связь не обнаружена.