1.7 میلیون دلار در قالب NFT از کاربران وب‌سایت OpenSea دزدیده شد

مهاجمان به‌تازگی صدها توکن غیرقابل معاوضه (NFT) را از کاربران سرویس OpenSea به سرقت بردند. بر اساس اطلاعاتی که تاکنون منتشر شده، 254 توکن به سرقت رفته که ارزش مجموع آن‌ها حدود 1.7 میلیون دلار تخمین زده می‌شود.

مطابق فایلی که از این 254 توکن مسروقه تهیه شده، ظاهرا NFT گروه‌های مختلفی از جمله «دیسنترالند» و Bored Ape Yacht Club در میان آن‌ها وجود داشته است. این حمله در حوالی ساعت ۰۱:۳۰ تا ۰۴:۳۰ بامداد دیروز رخ داده و 32 کاربر را هدف قرار داده است.

در این حمله ظاهرا از پروتکل Wyvern سوءاستفاده شده که یک استاندارد متن-باز در زیرلایه اکثر قراردادهای هوشمند در حوزه ان‌اف‌تی‌هاست. یکی از توضیحاتی که برای تشریح این حمله مطرح شده آن را به دو بخش تقسیم کرده است: ابتدا سوژه‌ها یک قرارداد کلی را که دارای بخش‌های خالی زیادی بوده امضا کرده‌اند. سپس بخش‌های خالی قرارداد توسط مهاجمان پر و مالکیت توکن‌ها منتقل شده است.

به عبارت دیگر، کاربران OpenSea چک سفیدی را امضا کردند که مهاجمان آن را با رقم دلخواه خود تکمیل کرده‌اند. کاربری به نام Neso در توییتر می‌گوید: «من همه تراکنش‌ها را بررسی کردم. همه از سوی افرادی که ان‌اف‌تی‌های خود را از دست داده بودند، امضا شده بود، بنابراین هر کسی که مدعی است قربانی فیشینگ نشده ولی ان‌اف‌تی از دست داده، متاسفانه در اشتباه است.»

OpenSea: حمله ربطی به آپدیت قراردادها نداشته است

پلتفرم OpenSea مشغول به‌روزرسانی سیستم قراردادهای خود بود که این حمله رخ داد. با این حال، این شرکت ارتباط حمله با قراردادهای جدید را تکذیب کرده است. با توجه به شمار پایین قربانیان این حمله، بعید است که واقعا مشکلی از سمت قراردادهای جدید رخ داده باشد.

با این وجود، هنوز بسیاری از جزئیات این حمله مشخص نشده و به ویژه نمی‌دانیم که مهاجمان از چه ترفندی برای ترغیب کاربران به امضای قرارداد سفید استفاده کرده‌اند. اما مدیرعامل OpenSea گفته که این حمله از طریق وب‌سایت، سیستم‌های فروش آن‌ها یا ایمیل‌های شرکت صورت نگرفته است.