İçerik: OpenSea Uygulamasından 1,7 milyon Dolarlık NFT Çalındı
OpenSea Uygulamasından 1,7 milyon Dolarlık NFT Çalındı. Cumartesi günü, saldırganlar OpenSea kullanıcılarından yüzlerce NFT çaldı ve sitenin geniş kullanıcı tabanında gece geç saatlerde paniğe neden oldu.
Blockchain güvenlik hizmeti PeckShield tarafından derlenen bir elektronik tablo, saldırı sırasında Decentraland ve Bored Ape Yacht Club’dan tokenlar da dahil olmak üzere çalınan 254 tokeni saydı.
Saldırıların büyük kısmı, toplamda 32 kullanıcıyı hedef alarak 17:00 ile 20:00 ET arasında gerçekleşti. Web3 is Going Great adlı blogu yöneten Molly White, çalınan jetonların değerini 1,7 milyon dolardan fazla olarak tahmin etti.
Saldırı, OpenSea’de yapılanlar da dahil olmak üzere çoğu NFT akıllı sözleşmesinin altında yatan açık kaynak standardı olan Wyvern Protokolü’ndeki bir esneklikten yararlanmış gibi görünüyor. Bir açıklama (Twitter’da CEO Devin Finzer tarafından bağlantı verildi) saldırıyı iki bölümde tanımladı: ilk olarak, hedefler genel bir yetkilendirme ile kısmi bir sözleşme imzaladı ve büyük bölümler boş bırakıldı.
İmza yerindeyken, saldırganlar, NFT’lerin sahipliğini ödeme yapmadan devreden kendi sözleşmelerine yapılan bir çağrıyla sözleşmeyi tamamladılar. Özünde, saldırının hedefleri boş bir çek imzalamıştı – ve imzalandıktan sonra, saldırganlar elindekileri almak için çekin geri kalanını doldurdu.
Neso’yu kullanan kullanıcı, “Her işlemi kontrol ettim” dedi. “Hepsinin NFT’lerini kaybeden insanlardan geçerli imzaları var, bu nedenle kimlik avına uğramadıklarını ancak NFT’leri kaybettiğini iddia eden herkes ne yazık ki yanlış.”
Son zamanlardaki bir finansman turunda 13 milyar dolar değerinde olan OpenSea, NFT patlamasının en değerli şirketlerinden biri haline geldi ve kullanıcıların doğrudan blok zinciri ile etkileşime girmeden belirteçleri listelemesi, göz atması ve teklif vermesi için basit bir arayüz sağladı.
Şirket, kullanıcıların değerli varlıklarını çalmak için eski sözleşmelerden yararlanan veya jetonları zehirleyen saldırılarla mücadele ettiğinden, bu başarı önemli güvenlik sorunlarıyla birlikte geldi.
OpenSea, saldırı gerçekleştiğinde sözleşme sistemini güncelleme sürecindeydi, ancak OpenSea, saldırının yeni sözleşmelerden kaynaklandığını reddetti. Nispeten az sayıda hedef, böyle bir güvenlik açığını olası kılmaz, çünkü daha geniş platformdaki herhangi bir kusurdan çok daha büyük bir ölçekte yararlanılabilir.
Yine de, saldırının birçok ayrıntısı belirsizliğini koruyor – özellikle saldırganların yarı boş sözleşmeyi imzalamak için hedefleri yakalamak için kullandıkları yöntem. OpenSea CEO’su Devin Finzer, 03:00 ET’den kısa bir süre önce Twitter’da yazan saldırıların OpenSea’nin web sitesinden, çeşitli listeleme sistemlerinden veya şirketten gelen herhangi bir e-postadan kaynaklanmadığını söyledi.
Saldırının hızlı temposu – birkaç saat içinde yüzlerce işlem – bazı ortak saldırı vektörlerini akla getiriyor, ancak şu ana kadar hiçbir bağlantı keşfedilmedi. Finzer Twitter’da “Oltalama saldırısının tam doğası hakkında daha fazla bilgi edindikçe sizi güncel tutacağız” dedi. “Yararlı olabilecek özel bilgileriniz varsa, lütfen DM @opensea_support.”