Metazine Tu Magazine del Metaverso. Toda la información del presente y futuro de nuestra vida digital.
El sábado, los atacantes robaron cientos de NFT de los usuarios de OpenSea, lo que provocó un pánico nocturno en la gran base de usuarios del sitio. Una hoja de cálculo compilado por el servicio de seguridad de blockchain PeckShield contó 254 tokens robados en el curso del ataque, incluidos tokens de Decentraland y Bored Ape Yacht Club.
La mayoría de los ataques tuvieron lugar entre las 5:00 p. m. y las 8:00 p. m. ET y se dirigieron a 32 usuarios en total. Molly White, que dirige el blog Web3 está muy bien, estimó el valor de los tokens robados en más de 1,7 millones de dólares.
El ataque parece haber explotado una flexibilidad en el protocolo wyvern, el estándar de código abierto detrás de la mayoría de los contratos inteligentes NFT, incluidos los creados en OpenSea. Una explicación (vinculada por el CEO Devin Finzer en Twitter) describió el ataque en dos partes: primero, los objetivos firmaron un contrato parcial, con autorización general y grandes porciones en blanco. Con la firma en su lugar, los atacantes completaron el contrato con una llamada a su contrato, que transfirió la propiedad de los NFT sin pago. Esencialmente, los atacantes firmaron un cheque en blanco y, una vez firmado, completaron el resto del cheque para tomar su propiedad.
“Revisé cada transacción”, dijo. el usuario, que va a Neso. “Todos tienen firmas válidas de las personas que perdieron NFT, por lo que cualquiera que afirme que no han sido objeto de phishing pero que perdieron NFT está lamentablemente equivocado”.
Valorada en 13.000 millones de dólares en una ronda de financiación reciente, OpenSea se ha convertido en una de las empresas más valiosas del auge de NFT, proporcionando a los usuarios una interfaz sencilla para listar, navegar y pujar por tokens sin interactuar directamente con la cadena de bloques. Ese éxito se produjo con importantes problemas de seguridad, ya que la empresa luchó con ataques que explotaban contratos antiguos o tokens envenenados para robar las valiosas propiedades de los usuarios.
OpenSea estaba actualizando su sistema de contratos cuando ocurrió el ataque, pero OpenSea negó que el ataque se originara con los nuevos contratos. El número relativamente pequeño de objetivos hace que tal vulnerabilidad sea poco probable, ya que cualquier falla en la plataforma más amplia probablemente se explotaría a una escala mucho mayor.
Sin embargo, muchos detalles del ataque siguen sin estar claros, sobre todo el método utilizado por los atacantes para persuadir a los objetivos de que firmen el contrato medio vacío. Escribiendo en Twitter justo antes de las 3 am ET, el CEO de OpenSea, Devin Finzer, dijo que los ataques no se habían originado. El sitio OpenSea, sus diversos sistemas de cotizacióno cualquier empresa de correos electrónicos. El rápido ritmo del ataque (cientos de transacciones en cuestión de horas) sugiere algún vector de ataque común, pero hasta ahora no se ha descubierto ningún vínculo.
“Los mantendremos informados a medida que aprendamos más sobre la naturaleza exacta del ataque de phishing”, dijo Finzer en Twitter. “Si tiene información específica que podría ser útil, envíe un mensaje privado @opensea_support. “
Emma Roth también contribuyó al reportaje.
