ジャカルタ - 2月19日(土)、ハッカーの攻撃やハッカーがOpenSeaアプリケーションのユーザーから何百ものTTを盗みました。この攻撃は、サイトの広大なユーザーベースの間で深夜のパニックを引き起こしました。
ブロックチェーンセキュリティサービスPeckShieldによってコンパイルされたスプレッドシートは、デセントラルランドと退屈な猿ヨットクラブからのトークンを含む、攻撃中に盗まれた254トークンを数えます。
ほとんどの攻撃は、5 p.m. - 8 p. et. ET (東部時間.m間に発生し、合計 32 ユーザーを対象としました。ブログWeb3を運営するモリー・ホワイトは、盗まれたトークンの価値を170万ドル以上と見積もりました。
この攻撃は、OpenSea上に構築されたものも含め、ほとんどのNFTスマート契約の基礎となるオープンソース標準であるワイバーン・プロトコルの柔軟性を利用しているようです。1つの説明(TwitterのCEOデビン・フィンツァーがリンクしている)は、攻撃を2つの部分で説明しています。
まず、ターゲットは部分的な契約に署名し、一般的な承認を得て、その大部分を空白のままにしました。署名を行う場合、攻撃者は自分の契約への呼び出しで契約を完了し、支払いなしで NFT の所有権を譲渡します。
本質的に、攻撃の標的は空白のチェックに署名し、一度署名すると、攻撃者はそれらを所有するためにチェックの残りの部分を記入します。
「私はすべての取引をチェックします」と、The Vergeが引用したようにネソと呼ばれるユーザーは言いました。「彼らは皆、NFTを失った人々の有効な署名を持っているので、彼らはフィッシングされていないが、NFTを失ったと主張する人は間違っています。
最近の資金調達ラウンドで130億米ドル(IDR 186.7兆)と評価されているOpenSeaは、NFTブームの最も価値のある企業の1つとなっています。ブロックチェーンは、ブロックチェーンと直接やり取りすることなく、ユーザーがトークンを登録、閲覧、入札するためのシンプルなインターフェイスを提供します。
OpenSeaはレガシー契約や有毒なトークンを利用してユーザーの貴重な所有権を盗む攻撃に苦しんできたため、その成功には重大なセキュリティ上の懸念が伴います。
OpenSeaは攻撃が発生したときに契約システムを更新する過程にあったが、OpenSeaは攻撃が新しい契約に起因することを否定した。ターゲットの数が比較的少ないほど、より広範なプラットフォームの欠陥がはるかに大きな規模で悪用される可能性が高いため、このような脆弱性はありそうもない。
しかし、攻撃の詳細の多くは不明のままで、特に攻撃者がターゲットを取得して半分空の契約に署名する方法は不明です。
攻撃者は>4時間前に停止しましたが、調査は進行中です。フィッシング攻撃の正確な性質について詳しく知る中で、お客様の最新情報を常に把握します。役に立つ情報がある場合は、DM@opensea_supportしてください。
— デビン・フィンツァー (dfinzer.eth) (@dfinzer) 2022年2月20日
3 a.m ETの直前のツイートで、OpenSeaのCEOデビン・フィンザーは、攻撃はOpenSeaのウェブサイトとその様々な上場システム、または同社からの電子メールから来たものではないと述べた。高速攻撃率、数時間のうちに何百ものトランザクションは、いくつかの一般的な攻撃ベクトルを示唆していますが、今のところリンクは見つかっていません。
「フィッシング攻撃の本質について詳しく知るにつれて、お客様を最新の状態に保ちます」とFinzer氏はTwitterで述べています。「役に立つ可能性のある特定の情報がある場合は、DM@opensea_supportしてください。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
