به گزارش شنبه پرس به نقل از دیجیاتو، مهاجمان بهتازگی صدها توکن غیرقابل معاوضه (NFT) را از کاربران سرویس OpenSea به سرقت بردند. بر اساس اطلاعاتی که تاکنون منتشر شده، 254 توکن به سرقت رفته که ارزش مجموع آنها حدود 1.7 میلیون دلار تخمین زده میشود.
مطابق فایلی که از این 254 توکن مسروقه تهیه شده، ظاهرا NFT گروههای مختلفی از جمله «دیسنترالند» و Bored Ape Yacht Club در میان آنها وجود داشته است. این حمله در حوالی ساعت ۰۱:۳۰ تا ۰۴:۳۰ بامداد دیروز رخ داده و 32 کاربر را هدف قرار داده است.
در این حمله ظاهرا از پروتکل Wyvern سوءاستفاده شده که یک استاندارد متن-باز در زیرلایه اکثر قراردادهای هوشمند در حوزه انافتیهاست. یکی از توضیحاتی که برای تشریح این حمله مطرح شده آن را به دو بخش تقسیم کرده است: ابتدا سوژهها یک قرارداد کلی را که دارای بخشهای خالی زیادی بوده امضا کردهاند. سپس بخشهای خالی قرارداد توسط مهاجمان پر و مالکیت توکنها منتقل شده است.
به عبارت دیگر، کاربران OpenSea چک سفیدی را امضا کردند که مهاجمان آن را با رقم دلخواه خود تکمیل کردهاند. کاربری به نام Neso در توییتر میگوید: «من همه تراکنشها را بررسی کردم. همه از سوی افرادی که انافتیهای خود را از دست داده بودند، امضا شده بود، بنابراین هر کسی که مدعی است قربانی فیشینگ نشده ولی انافتی از دست داده، متاسفانه در اشتباه است.»
OpenSea: حمله ربطی به آپدیت قراردادها نداشته است
پلتفرم OpenSea مشغول بهروزرسانی سیستم قراردادهای خود بود که این حمله رخ داد. با این حال، این شرکت ارتباط حمله با قراردادهای جدید را تکذیب کرده است. با توجه به شمار پایین قربانیان این حمله، بعید است که واقعا مشکلی از سمت قراردادهای جدید رخ داده باشد.
با این وجود، هنوز بسیاری از جزئیات این حمله مشخص نشده و به ویژه نمیدانیم که مهاجمان از چه ترفندی برای ترغیب کاربران به امضای قرارداد سفید استفاده کردهاند. اما مدیرعامل OpenSea گفته که این حمله از طریق وبسایت، سیستمهای فروش آنها یا ایمیلهای شرکت صورت نگرفته است.