No sábado, os invasores furtaram centenas de NFTs de usuários do OpenSea. Houve pânico noturno entre a ampla base de usuários do site, segundo relatos da reportagem da The Verge. Uma planilha compilada pelo serviço de segurança blockchain PeckShield contou 254 tokens roubados ao longo do ataque, incluindo tokens da Decentraland e do Bored Ape Yacht Club.
De acordo com reportagem da The Verge, a maior parte dos ataques ocorreu entre 17h e 20h, visando 32 usuários no total. Molly White, que administra o blog Web3 is Going Great, estimou o valor dos tokens roubados em mais de US$ 1,7 milhão.
Assinaturas válidas
O ataque parece ter explorado uma flexibilidade no Protocolo Wyvern, o padrão de código aberto subjacente à maioria dos contratos inteligentes NFT, incluindo aqueles feitos no OpenSea.
Assine a nossa newsletter e fique atualizado sobre as principais notícias da experiência do cliente
Uma explicação (vinculada pelo CEO Devin Finzer no Twitter ) descreveu o ataque em duas partes: primeiro, os alvos assinaram um contrato parcial, com uma autorização geral e grandes porções deixadas em branco. Com a assinatura no lugar, os invasores concluíram o contrato com uma chamada para seu próprio contrato, que transferiu a propriedade dos NFTs sem pagamento. Em outras palavras, as vítimas assinaram um cheque em branco – e uma vez assinado, os atacantes preencheram o restante do cheque para tomar suas posses.
“Verifiquei todas as transações”, disse o usuário , que atende por Neso. “Todos eles têm assinaturas válidas das pessoas que perderam NFTs, então qualquer pessoa que afirme que não sofreu phishing, mas perdeu NFTs está tristemente errada.”
Avaliada em US$ 13 bilhões em uma rodada de financiamento recente, a OpenSea se tornou uma das empresas mais valiosas do boom da NFT , fornecendo uma interface simples para os usuários listarem, navegarem e fazerem lances em tokens sem interagir diretamente com o blockchain. Esse sucesso veio com problemas de segurança significativos, já que a empresa lutou com ataques que alavancaram contratos antigos ou tokens envenenados para roubar os valiosos bens dos usuários.
A OpenSea estava em processo de atualização de seu sistema de contratos quando o ataque ocorreu, mas a OpenSea negou que o ataque tenha se originado com os novos contratos. O número relativamente pequeno de alvos torna essa vulnerabilidade improvável, já que qualquer falha na plataforma mais ampla provavelmente seria explorada em uma escala muito maior.
Ainda assim, muitos detalhes do ataque permanecem obscuros – particularmente o método que os invasores usaram para fazer com que os alvos assinem o contrato meio vazio. Escrevendo no Twitter pouco antes das 3h da manhã, o CEO da OpenSea, Devin Finzer, disse que os ataques não se originaram do site da OpenSea , de seus vários sistemas de listagem ou de qualquer e-mail da empresa . O ritmo acelerado do ataque – centenas de transações em questão de horas – sugere algum vetor comum de ataque, mas até agora nenhum link foi descoberto.
Assine a nossa newsletter e fique atualizado sobre as principais notícias da experiência do cliente
+ Notícias
NFTs: entenda o perfil dos compradores de tokens não fungíveis
A NFT não é tão confiável quanto aparenta: entenda os riscos