ذكرت تقارير تقنية أنّه تم سرقة NFTs بالمئات من مستخدمي OpenSea، الأمر الذي تسبب في حالة من الذعر بين قاعدة المستخدمين العريضة للموقع.
تفاصيل سرقة NFTs
قام جدول بيانات تم تجميعه بواسطة خدمة أمان blockchain PeckShield بإحصاء 254 رمزًا مسروقًا على مدار الهجوم، بما في ذلك الرموز المميزة من Decentraland و Bored Ape Yacht Club.
وقع الجزء الأكبر من الهجمات بين الساعة 5 مساءً والساعة 8 مساءً واستهدفت 32 مستخدمًا في المجموع، وقُدرت قيمة الرموز المميزة المسروقة بأكثر من 1.7 مليون دولار.
يبدو أن الشخص الذي قام بـ سرقة NFTs قد استغل المرونة في بروتوكول Wyvern، وهو المعيار المفتوح المصدر الكامن وراء معظم عقود NFT الذكية، بما في ذلك تلك التي تمت في OpenSea.
وصف أحد التفسيرات الهجوم في جزأين: أولاً ، وقعت الأهداف على عقد جزئي، مع تفويض عام وترك أجزاء كبيرة فارغة مع التوقيع في مكانه، أكمل المهاجمون العقد باستدعاء عقدهم الخاص، والذي نقل ملكية NFTs دون دفع. في الأساس، وقعت أهداف الهجوم على شيك على بياض – وبمجرد توقيعه، ملأ المهاجمون بقية الشيك لأخذ ممتلكاتهم.
قال أحد المستخدمين: “لديهم جميعًا توقيعات صالحة من الأشخاص الذين فقدوا NFTs، لذا فإن أي شخص يدعي أنهم لم يتعرضوا للتصيد ولكن فقدان NFTs هو خطأ للأسف”.
اقرأ أيضًا.. ننتيندو تخطط لدخول عالم الميتافيرس و NFT
بقيمة 13 مليار دولار في جولة تمويل حديثة، أصبحت OpenSea واحدة من أكثر الشركات قيمة في طفرة NFT، حيث توفر واجهة بسيطة للمستخدمين لسرد الرموز وتصفحها والمزايدة عليها دون التفاعل مباشرة مع blockchain.
وقد ترافق هذا النجاح مع مشكلات أمنية كبيرة، حيث عانت الشركة من هجمات استفادت من العقود القديمة أو أفسدت الرموز لسرقة المقتنيات القيمة للمستخدمين.
كانت OpenSea في طور تحديث نظامها التعاقدي عندما وقع الهجوم ، لكن OpenSea نفت أن يكون الهجوم قد نشأ مع العقود الجديدة. العدد الصغير نسبيًا للأهداف يجعل مثل هذه الثغرة غير مرجحة، حيث من المرجح أن يتم استغلال أي خلل في النظام الأساسي الأوسع نطاقًا أكبر بكثير.
ومع ذلك ، لا تزال العديد من تفاصيل الهجوم غير واضحة – لا سيما الطريقة التي استخدمها المهاجمون للحصول على أهداف لتوقيع عقد نصف فارغ.
وقال الرئيس التنفيذي للشركة إن “الهجمات لم تنشأ من موقع OpenSea الإلكتروني أو أنظمة القوائم المختلفة أو أي رسائل بريد إلكتروني من الشركة”.
برأيك.. هل قام المخترقون بخداع الضحايا أم اكتشفوا ثغرة في المنصة؟ شاركونا في التعليقات.
