Centenas de NFTs foram roubados de usuários da plataforma de negociação de tokens não fungíveis OpenSea no sábado. De acordo com o serviço de segurança blockchain PeckShield, 254 tokens foram roubados durante o ataque de hackers, incluindo os ativos do mercado virtual Decentraland e os conhecidos tokens Bored Ape Yacht Club.
Fonte da imagem: Alex Castro / The Verge
A maior parte dos ataques ocorreu entre 17:00 e 20:00 ET (domingo 1:00-4:00, horário de Moscou), causando pânico nos usuários. No total, as contas de 32 pessoas foram atacadas. Molly White, que escreve o blog Web3 Is Going Just Great, estimou o valor dos ativos roubados em mais de US$ 1,7 milhão. Acredita-se que os hackers tenham explorado vulnerabilidades no Protocolo Wyvern, o padrão de código aberto que sustenta a maioria dos contratos NFT inteligentes , incluindo aqueles criados no OpenSea.
De acordo com um dos usuários do Twitter, o ataque consistiu em duas partes: primeiro, as vítimas assinaram um contrato parcial com permissão geral e assentos vazios. Com a assinatura, os atacantes completaram o contrato com um link para seu próprio contrato, que transfere a propriedade do NFT sem pagamento. Essencialmente, os invasores assinaram um cheque em branco – e, uma vez assinado, os invasores preencheram o restante do cheque para levar os ativos.
«Verifiquei todas as transações”, disse o usuário sob o apelido de Neso. “Todos eles têm assinaturas válidas de pessoas que perderam NFTs, então qualquer um que afirme que não sofreu phishing, mas perdeu NFTs está tristemente errado.” O ataque ao OpenSea ocorreu no momento em que o site estava atualizando seu sistema de contratos, mas o OpenSea nega a conexão desses eventos.
Muitos detalhes do ataque permanecem obscuros, em particular o método que os atacantes usaram para forçar as vítimas a assinar um contrato meio vazio. A velocidade do ataque – centenas de transações em questão de horas – sugere um vetor comum, mas até agora nenhum link foi encontrado.