جاكرتا -- السبت 19 فبراير ، هجوم القراصنة أو قراصنة سرقوا مئات من NFTs من المستخدمين في تطبيق OpenSea. تسبب هذا الهجوم في حالة من الذعر في وقت متأخر من الليل بين قاعدة مستخدمي الموقع الواسعة.
يعد جدول البيانات الذي جمعته خدمة أمن blockchain PeckShield 254 رمزا مميزا سرقت أثناء الهجوم ، بما في ذلك رموز من Decentraland ونادي Bored Ape Yacht Club.
ووقعت معظم الهجمات بين الساعة 00/17 .m و 8 مساء.m بتوقيت شرق الولايات المتحدة، واستهدفت ما مجموعه 32 مستخدما. وقدرت مولي وايت، التي تدير مدونة Web3 Going Great، قيمة الرموز المسروقة بأكثر من 1.7 مليون دولار.
ويبدو أن الهجوم استغل المرونة في بروتوكول وايفيرن، وهو المعيار المفتوح المصدر الذي تقوم عليه معظم العقود الذكية ل NFT، بما في ذلك تلك التي بنيت على OpenSea. ويصف أحد التفسيرات (التي ربطها الرئيس التنفيذي ديفين فينزر على تويتر) الهجوم في جزأين.
أولا، وقع الهدف عقدا جزئيا، بإذن عام وترك معظمه فارغا. ومع التوقيع، يكمل المهاجم العقد بدعوة إلى عقده الخاص، الذي ينقل ملكية ال NFT دون دفع.
في جوهرها ، وقع هدف الهجوم شيكا على بياض ، وبمجرد توقيعه ، يملأ المهاجم بقية الشيك للاستيلاء عليها.
"أنا التحقق من كل معاملة"، وقال المستخدم الذي يسمى مألوفة نيسو كما نقلت عنه فيرج. "لديهم جميعا توقيعات صالحة من الناس الذين فقدوا NFT حتى أي شخص يدعي أنهم لم يتم التصيد ولكن فقدت NFT هو الخطأ."
أصبحت OpenSea ، التي تقدر قيمتها الآن ب 13 مليار دولار أمريكي (186.7 تريليون دولار) في جولة التمويل الأخيرة ، واحدة من أكثر الشركات قيمة في طفرة NFT. وهي توفر واجهة بسيطة للمستخدمين لتسجيل وتصفح وتقديم عروض الأسعار دون التفاعل مباشرة مع blockchain.
يأتي هذا النجاح مع مخاوف أمنية كبيرة ، حيث كافحت OpenSea مع الهجمات التي تستفيد من العقود القديمة أو الرموز السامة لسرقة ملكية المستخدمين القيمة.
وكانت "أوبن سي" بصدد تجديد نظام عقودها عندما وقع الهجوم، لكن "أوبن سي" نفت أن يكون الهجوم نابعا من عقد جديد. إن العدد الصغير نسبيا من الأهداف يجعل مثل هذا الضعف غير محتمل، حيث من المرجح أن يتم استغلال أي خلل في المنصة الأوسع على نطاق أوسع بكثير.
ومع ذلك، لا تزال تفاصيل كثيرة عن الهجوم غير واضحة، لا سيما الأساليب التي يستخدمها المهاجمون للحصول على أهداف لتوقيع عقود نصف فارغة.
بينما توقف المهاجم >4 ساعات، تحقيقنا مستمر. سنطلعك على آخر المستجدات عندما نعرف المزيد عن الطبيعة الدقيقة لهجوم التصيد الاحتيالي. إذا كان لديك معلومات محددة يمكن أن تكون مفيدة، يرجى DM @opensea_support.
— ديفين فينزر (dfinzer.eth) (@dfinzer) 20 فبراير 2022
في تغريدة قبل الساعة 3 صباحا بقليل .m ET، قال الرئيس التنفيذي لشركة OpenSea ديفين فينزر إن الهجوم لم ينشأ من موقع OpenSea، وأنظمة الإدراج المختلفة، أو أي بريد إلكتروني من الشركة. يشير معدل الهجوم السريع ، مئات المعاملات في غضون ساعات ، إلى بعض ناقلات الهجوم الشائعة ، ولكن حتى الآن لم يتم العثور على أي رابط.
وقال فينزر على تويتر: "سنطلعك على آخر المستجدات كلما تعلمنا المزيد عن الطبيعة الحقيقية لهجمات التصيد الاحتيالي. "إذا كان لديك معلومات محددة يمكن أن تكون مفيدة، يرجى DM @opensea_support."
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
