В събота хакери са откраднали стотици NFT от потребителите на OpenSea, предизвиквайки паника късно през нощта сред широката потребителска база на сайта. Електронна таблица, съставена от услугата за сигурност на блокчейн PeckShield, преброи 254 токена, откраднати в хода на атаката, включително токени от Decentraland и Bored Ape Yacht Club.
По-голямата част от атаките са осъществени между 17:00 и 20:00 ч. българско време. Те са насочени към общо 32 потребители. Моли Уайт, която води блога Web3 is Going Great, оценява стойността на откраднатите токени на повече от 1,7 млн. щ. долара
Изглежда, че атаката се е възползвала от гъвкавост в протокола Wyvern, стандарт с отворен код, който е в основата на повечето договори на NFT, включително тези, направени в OpenSea. Едно от обясненията, дадено от главния изпълнителен директор Девин Финцър в Twitter, описва атаката в две части:
Първо целите са подписали частичен договор, с обща оторизация и големи части, оставени празни. След като подписът е налице, нападателите завършват договора с повикване към свой собствен договор, който прехвърля собствеността върху NFT без заплащане. По същество целите на атаката са подписали празен че. И след като той е бил подписан, атакуващите са попълнили останалата част от чека, за да вземат техните притежания.
Оценена на 13 млрд. долара в неотдавнашния кръг на финансиране, OpenSea се превърна в една от най-ценните компании в бума на NFT, предоставяйки прост интерфейс за потребителите да изброяват, разглеждат и наддават за токени, без да взаимодействат директно с блокчейн. Този успех е съпроводен със значителни проблеми със сигурността, тъй като компанията се бори с атаки, които използват стари договори или „отровени токени“, за да откраднат ценните притежания на потребителите.
OpenSea е била в процес на актуализиране на договорната си система, когато е била извършена атаката, но компанията отрича, че атаката е възникнала с използване на новите договори. Сравнително малкият брой цели прави подобна уязвимост малко вероятна, тъй като всеки недостатък в по-широката платформа вероятно би бил използван в много по-голям мащаб.
Все пак много подробности за атаката остават неясни. Липсва най-вече информация за метода, който нападателите са използвали, за да накарат целите си да подпишат полупразния договор.
А тук ще намерите още технологични новини!
Вижте всички актуални новини от Standartnews.com
