Šeštadienį įvykdyta ataka lėmė 1,7 mln. JAV dolerių nuostolius – tokios vertės NFT žetonų pavogta iš šimtų „OpenSea“ vartotojų, praneša theverge.com.
Tarp pavogtų žetonų – ir „Decentraland“ and „Bored Ape Yacht Club“ leisti žetonai.
Atakos tęsėsi naktį iš šeštadienio į sekmadienį, apie vidurnaktį Lietuvos laiku, nukentėjo 32 vartotojai.
Sukčiai išnaudojo atviro kodo standartą „Wyvern“, kuriuo sudaromi NFT išmanieji kontraktai. Ataka susidėjo iš dviejų dalių: pirmiausia aukos pasirašydavo nepilnai sudarytą sutartį, autentifikuodamiesi, tačiau dideles dalis sutarties palikdami tuščias. Kai sukčiai turėjo parašą, jie užpildydavo sutartį taip kaip jiems patinka, ir taip NFT atitekdavo sukčiams be apmokėjimo, paaiškino „OpenSea“ vadovas Devinas Finzeris tviteryje.
Apibendrinant – aukos pasirašė tuščią čekį, o kai jis buvo pasirašytas, sukčiams teliko surašyti likusią dalį ir perimti kriptografinį turtą.
„Aš tikrinau kiekviena perlaidą. Visos jos turėjo tinkamus parašus tų žmonių, kurie prarado NFT“, – „Wired“ teigia vienas iš vartotojų.
NFT bumo metu „OpenSea“ šioje rinkoje tapo viena iš vertingiausių kompanijų, po paskutinio finansavimo etapo jos vertė apskaičiuota ties 13 milijardų JAV dolerių. Įmonė siūlo paprastą platformą vartotojams, kurioje galima naršyti, pirkti NFT žetonus, tiesiogiai nesąveikaujant su blokų grandine.
Išlieka neaišku, kaip programišiai pasiekė, kad vartotojai pasirašytų pusiau tuščias sutartis.