เมื่อวันเสาร์ที่ผ่านมา ผู้โจมตีได้ขโมย NFT หลายร้อยรายการจากผู้ใช้ OpenSea

มอลลี่ ไวท์ ผู้ดูแลบล็อก Web3 is Going Great ประเมินมูลค่าโทเค็นที่ถูกขโมยไปมากกว่า 1.7 ล้านดอลลาร์ในขั้นต้น OpenSea กล่าวว่าผู้ใช้ 32 รายได้รับผลกระทบ แต่ภายหลังได้แก้ไขจำนวนดังกล่าวเป็น 17 โดยระบุว่า 15 ของการนับเริ่มแรกมีปฏิสัมพันธ์กับผู้โจมตี แต่ไม่สูญเสียโทเค็นเป็นผล

บทความอื่น ๆ : แนะนำการทำ Yield Farming บน Solana รับผลตอบแทนสูง

“พวกเขาทั้งหมดมีลายเซ็นที่ถูกต้อง”การโจมตีดูเหมือนจะใช้ประโยชน์จากความยืดหยุ่นในWyvern Protocolซึ่งเป็นมาตรฐานโอเพ่นซอร์สที่อยู่ภายใต้สัญญาอัจฉริยะ NFT ส่วนใหญ่ รวมถึงที่ทำบน OpenSea คำอธิบายหนึ่ง (ลิงก์โดย CEO Devin Finzer บน Twitter ) อธิบายการโจมตีออกเป็นสองส่วน: อันดับแรก เป้าหมายลงนามในสัญญาบางส่วน โดยได้รับอนุญาตทั่วไป และส่วนใหญ่เว้นว่างไว้ เมื่อลงนามแล้ว ผู้โจมตีก็เสร็จสิ้นสัญญาด้วยการเรียกสัญญาของตนเอง ซึ่งโอนความเป็นเจ้าของ NFT โดยไม่ต้องชำระเงิน โดยพื้นฐานแล้ว เป้าหมายของการโจมตีได้ลงนามในเช็คเปล่า และเมื่อลงนามแล้ว ผู้โจมตีก็กรอกเช็คที่เหลือเพื่อยึดถือ

“ฉันตรวจสอบทุกธุรกรรมแล้ว” ผู้ใช้ที่ใช้บริการ Neso กล่าว “พวกเขาทั้งหมดมีลายเซ็นที่ถูกต้องจากผู้ที่สูญเสีย NFT ดังนั้นทุกคนที่อ้างว่าพวกเขาไม่ได้ถูกฟิชชิ่ง แต่ NFT ที่หายไปถือเป็นความผิดอย่างน่าเศร้า”

OpenSea มีมูลค่า 13 พันล้านดอลลาร์ในการระดมทุนรอบล่าสุด ได้กลายเป็นหนึ่งในบริษัทที่มีมูลค่ามากที่สุดของการเติบโตของ NFTโดยมีอินเทอร์เฟซที่เรียบง่ายสำหรับผู้ใช้ในการแสดงรายการ เรียกดู และเสนอราคาโทเค็นโดยไม่ต้องโต้ตอบกับบล็อคเชนโดยตรง ความสำเร็จนั้นมาพร้อมกับปัญหาด้านความปลอดภัยที่สำคัญ เนื่องจากบริษัทได้ต่อสู้กับการโจมตีที่ใช้ประโยชน์จากสัญญาเก่าหรือโทเค็นที่เป็นพิษเพื่อขโมยการถือครองอันมีค่าของผู้ใช้

OpenSea อยู่ในระหว่างการปรับปรุงระบบสัญญาเมื่อการโจมตีเกิดขึ้น แต่ OpenSea ปฏิเสธว่าการโจมตีนั้นเกิดจากสัญญาใหม่ จำนวนเป้าหมายที่ค่อนข้างน้อยทำให้ช่องโหว่ดังกล่าวไม่น่าเป็นไปได้ เนื่องจากข้อบกพร่องใด ๆ ในแพลตฟอร์มที่กว้างขึ้นมีแนวโน้มที่จะถูกโจมตีในระดับที่ใหญ่กว่ามาก

อย่างไรก็ตาม รายละเอียดจำนวนมากของการโจมตียังคงไม่ชัดเจน โดยเฉพาะอย่างยิ่งวิธีที่ผู้โจมตีใช้ในการรับเป้าหมายเพื่อลงนามในสัญญาที่ว่างเปล่าครึ่งหนึ่ง Devin Finzer ซีอีโอของ OpenSea เขียนบน Twitter ไม่นานก่อน 03.00 น. ET กล่าวว่าการโจมตีไม่ได้เกิดขึ้นจาก เว็บไซต์ ของOpenSea ระบบรายชื่อต่างๆหรือ อีเมลใด ๆจากบริษัท การโจมตีที่รวดเร็ว – ธุรกรรมหลายร้อยรายการในเวลาไม่กี่ชั่วโมง – แสดงให้เห็นเวกเตอร์ทั่วไปของการโจมตี แต่จนถึงขณะนี้ยังไม่มีการค้นพบการเชื่อมโยง

“เราจะแจ้งให้คุณทราบเมื่อเราเรียนรู้เพิ่มเติมเกี่ยวกับลักษณะที่แน่นอนของการโจมตีแบบฟิชชิ่ง” Finzer กล่าวบน Twitter “หากคุณมีข้อมูลเฉพาะที่อาจเป็นประโยชน์ โปรด DM @opensea_support ”

อ่านบทความอื่น ๆ ได้ที่ allamericanplaygrounds.com