Мошенники украли у пользователей маркетплейса OpenSea NF-токены стоимостью более чем 1,7 млн долларов, пишет The Verge.
Что произошло: генеральный директор OpenSea Девин Финзер объяснил в своем заявлении, что мошенники разослали пользователям маркетплейса договор о передаче прав на NFT с пустыми полями. Как только жертвы подписали пустой чек, злоумышленники заполнили оставшуюся часть документа и получили активы без оплаты. Блокчейн-сервис PeckShield составил электронную таблицу, согласно которой в ходе атаки украли 254 токена у 32 пользователей, включая NFT от Decentraland и Bored Ape Yacht Club.
Уязвимость: хакеры использовали гибкость в протоколе Wyvern — стандарта с открытым исходным кодом, лежащего в основе большинства смарт-контрактов NFT, в том числе созданных в OpenSea. Многие детали атаки остаются неясными, в частности метод, который хакеры использовали для отбора жертв, которые были готовы подписать полупустое соглашение.
Карточка компании: OpenSea выступает в качестве одной из самых крупных NFT-компаний, которую в недавнем раунде финансирования оценили в 13 млрд долларов. Маркетплейс предоставляет пользователям простой интерфейс для совершения транзакций с токенами без непосредственного взаимодействия с блокчейном.