В субботу злоумышленники украли сотни NFT у пользователей OpenSea, вызвав поздним вечером панику среди широкой пользовательской базы сайта. В электронной таблице, составленной службой безопасности блокчейна PeckShield, подсчитано 254 токена, украденных в ходе атаки, включая токены Decentraland и Bored Ape Yacht Club.

Основная часть атак произошла между 17:00 и 20:00 по восточному времени, в общей сложности они затронули 32 пользователя. Молли Уайт, ведущая блог Web3 is Going Great, оценила стоимость украденных токенов в более чем 1,7 миллиона долларов.

Судя по всему, атака использовала уязвимость в протоколе Wyvern, стандарте с открытым исходным кодом, лежащем в основе большинства смарт-контрактов NFT, включая те, которые были созданы на OpenSea. Одно из объяснений (на которое ссылается генеральный директор Девин Финзер в Твиттере) описывает атаку в двух частях: сначала цели подписывали частичный контракт, с общей авторизацией и большими частями, оставленными незаполненными. Поставив подпись, злоумышленники завершили контракт ссылкой на свой собственный контракт, который передавал право собственности на NFT без оплаты. По сути, объекты атаки подписывали незаполненный чек – и после его подписания злоумышленники заполняли оставшуюся часть чека, чтобы забрать свои пакеты акций.

“Я проверил каждую транзакцию”, – сказал пользователь под ником Neso. “Все они имеют действительные подписи людей, потерявших NFT, так что все, кто утверждает, что их не обманули, но они потеряли NFT, к сожалению, ошибаются”.

Компания OpenSea, стоимость которой в ходе недавнего раунда финансирования оценивается в 13 миллиардов долларов, стала одной из самых ценных компаний бума NFT, предоставляя пользователям простой интерфейс для листинга, просмотра и торгов токенами без непосредственного взаимодействия с блокчейном. Этот успех сопровождался значительными проблемами безопасности, поскольку компания боролась с атаками, которые использовали старые контракты или отравленные токены, чтобы украсть ценные активы пользователей.

OpenSea находилась в процессе обновления своей системы контрактов, когда произошла атака, но OpenSea отрицает, что атака была связана с новыми контрактами. Относительно небольшое количество целей делает такую уязвимость маловероятной, поскольку любой недостаток в более широкой платформе, скорее всего, был бы использован в гораздо больших масштабах.

Тем не менее, многие детали атаки остаются неясными – в частности, метод, который злоумышленники использовали, чтобы заставить цели подписать наполовину пустой контракт. Написав в Твиттере незадолго до 3 часов утра по восточному времени, генеральный директор OpenSea Девин Финзер заявил, что атаки не исходили от веб-сайта OpenSea, его различных систем листинга или каких-либо электронных писем от компании. Быстрый темп атаки – сотни сделок за несколько часов – позволяет предположить наличие какого-то общего вектора атаки, но пока никакой связи не обнаружено.