Yaklaşık üç saat içinde iki yüz elli dört token çalındı,

Cumartesi günü, saldırganlar OpenSea kullanıcılarından yüzlerce NFT çaldı ve sitenin geniş kullanıcı tabanında gece geç saatlerde paniğe neden oldu. Blockchain güvenlik hizmeti PeckShield tarafından derlenen bir elektronik tablo , saldırı sırasında Decentraland ve Bored Ape Yacht Club’dan tokenlar da dahil olmak üzere çalınan 254 tokeni saydı.

Saldırıların büyük kısmı, toplamda 32 kullanıcıyı hedef alarak 17:00 ile 20:00 ET arasında gerçekleşti. Web3 is Going Great adlı blogu yöneten Molly White, çalınan jetonların değerini 1,7 milyon dolardan fazla olarak tahmin etti .

Saldırı , OpenSea’de yapılanlar da dahil olmak üzere çoğu NFT akıllı sözleşmesinin altında yatan açık kaynak standardı olan Wyvern Protokolü’ndeki bir esneklikten yararlanmış gibi görünüyor. Bir açıklama (CEO Devin Finzer tarafından Twitter’da bağlantılı ) saldırıyı iki bölümde tanımladı: ilk olarak, hedefler genel bir yetkilendirme ile kısmi bir sözleşme imzaladı ve büyük bölümler boş bırakıldı. İmza yerindeyken, saldırganlar, NFT’lerin sahipliğini ödeme yapmadan devreden kendi sözleşmelerine yapılan bir çağrıyla sözleşmeyi tamamladılar. Özünde, saldırının hedefleri boş bir çek imzalamıştı – ve imzalandıktan sonra, saldırganlar elindekileri almak için çekin geri kalanını doldurdu.

Neso’yu kullanan kullanıcı , “Her işlemi kontrol ettim” dedi . “Hepsinin NFT’lerini kaybeden insanlardan geçerli imzaları var, bu nedenle kimlik avına uğramadığını ancak NFT’leri kaybettiğini iddia eden herkes ne yazık ki yanlış.”

Son zamanlardaki bir finansman turunda 13 milyar dolar değerinde olan OpenSea, NFT patlamasının en değerli şirketlerinden biri haline geldi ve kullanıcıların doğrudan blok zinciri ile etkileşime girmeden belirteçleri listelemesi, göz atması ve teklif vermesi için basit bir arayüz sağladı. Şirket, kullanıcıların değerli varlıklarını çalmak için eski sözleşmelerden yararlanan veya jetonları zehirleyen saldırılarla mücadele ettiğinden, bu başarı önemli güvenlik sorunlarıyla birlikte geldi .