OpenSea, одна з найпопулярніших і відомих торгових платформ NFT, зазнала хакерської атаки, можливо, фішингової кампанії, в результаті якої було скомпрометовано 32 облікові записи і загалом було вкрадено 254 токени. Було кілька колекцій та робіт, які зараз мають дуже високу цінність, у тому числі яхт-клуб Bored Ape та Azuki. За оцінками, загальна вартість крадіжки становить 641 ETH, що зараз еквівалентно приблизно 1,7 мільйона доларів.
Інцидент стався минулої суботи, 19 лютого. OpenSea негайно розпочав розслідування та заявив, що, на його думку, атака не була викликана проблемою, безпосередньо пов’язаною з кодом сайту. Однак, на думку кількох експертів, справа була б трохи складнішою: хакери насправді неправомірно використовували б функцію протоколу Wyvern, стандарту з відкритим вихідним кодом, використовуваного багатьма платформами, які стосуються блокчейну Ethereum, який використовується для управління контрактами.
Паніка вибухнула 19 лютого, коли кілька користувачів побачили, що їхні гаманці спустошені від цінних NFT з незрозумілих причин, а багато інших побоювалися, що з ними може статися те саме. У ранніх поясненнях звинувачували новий контракт, який уклали OpenSea або AirDrop із нового торгового майданчика NFT під назвою X2Y2. Люди закликали власників NFT відкликати дозволи як для контракту OpenSea, так і для X2Y2, поки не стане відомо більше, хоча один із найпопулярніших веб-сайтів, які допомагають людям зробити це, незабаром після цього відключився через високий трафік.
OpenSea: велика крадіжка NFT на суму понад 1,7 мільйона доларів за вихідні
Багато деталей нападу ще доведеться з’ясувати, однак, схоже, користувачів змусили підписати часткову угоду, яка дозволяє передачу NFT без відповідної ETH. Генеральний директор та співзасновник OpenSea Девін Фінцер підтвердив, що ця гіпотеза збігається з першими результатами внутрішніх розслідувань, які, проте, ще продовжуються.
Новина прийшла у явно несприятливий момент для платформи. Нещодавно виникло кілька суперечок, пов’язаних із розповсюдженням фальшивих творів або плагіату, і співробітник звільнився після того, як було виявлено, що він незаконно використовує інсайдерську інформацію, щоб заробляти гроші на запусках NFT. Всього вдень раніше, серед іншого, OpenSea представила новий тип смартконтракту, запрошуючи користувачів перенести усі свої активи.
Через півтори години після того як користувачі почали повідомляти про відсутність NFT, OpenSea нарешті визнала наявність проблеми. Вони написали в Твіттері, що «активно розслідують чутки про експлойт, пов’язаний зі смарт-контрактами, пов’язаними з OpenSea» і написали, що, на їхню думку, це була атака фішинга з-за меж OpenSea, а не проблема з їх контрактом. Згодом було встановлено, що зловмисник успішно змусив 32 користувачів OpenSea підписати зловмисний контракт; що дозволило зловмиснику взяти NFT, та був перевернути їх. Як не дивно, хакер повернув деякі з NFT їхнім первісним власникам, а одна жертва незрозумілим чином отримала 50 ETH (130 000 доларів США) від зловмисника, а також деякі з його вкрадених NFT.
