سرقة 1.7 مليون دولار من NFTs فى هجوم إلكترونى

هاكر ارشيف

كتبت ـ هبة السيد

الإثنين، 21 فبراير 2022 08:00 ص

سرق المهاجمون مئات من NFTs من مستخدمي OpenSea السبت الماضى، مما تسبب في حالة من الذعر في وقت متأخر من الليل بين قاعدة المستخدمين العريضة للموقع.

قام جدول بيانات تم تجميعه بواسطة خدمة أمان blockchain PeckShield بإحصاء 254 رمزًا مسروقًا على مدار الهجوم ، بما في ذلك الرموز المميزة من Decentraland و Bored Ape Yacht Club.

وقع الجزء الأكبر من الهجمات بين الساعة 5 مساءً والساعة 8 مساءً بالتوقيت الشرقي ، واستهدفت 32 مستخدمًا في المجموع. وقدرت مولي وايت التي تدير مدونة Web3 is Going Great ، قيمة الرموز المميزة المسروقة بأكثر من 1.7 مليون دولار حسبما نقل موقع The verege.

يبدو أن الهجوم قد استغل المرونة في بروتوكول Wyvern ، وهو المعيار المفتوح المصدر الكامن وراء معظم عقود NFT الذكية ، بما في ذلك تلك التي تمت في OpenSea.

وصف أحد التفسيرات (الذي ربطه الرئيس التنفيذي Devin Finzer على Twitter) الهجوم في جزأين: أولاً ، وقعت الأهداف على عقد جزئي ، مع تفويض عام وترك أجزاء كبيرة فارغة. مع التوقيع في مكانه ، أكمل المهاجمون العقد باستدعاء عقدهم الخاص ، والذي نقل ملكية NFTs دون دفع.

ووقعت أهداف الهجوم على شيك على بياض - وبمجرد توقيعه ، ملأ المهاجمون بقية الشيك لأخذ ممتلكاتهم.

قال المستخدم الذي يذهب إلى Neso: "راجعت كل معاملة". "لديهم جميعًا توقيعات صالحة من الأشخاص الذين فقدوا NFTs ، لذا فإن أي شخص يدعي أنهم لم يتعرضوا للتصيد ولكن فقدان NFTs هو خطأ للأسف."

بقيمة 13 مليار دولار في جولة تمويل حديثة ، أصبحت OpenSea واحدة من أكثر الشركات قيمة في طفرة NFT ، حيث توفر واجهة بسيطة للمستخدمين لسرد الرموز وتصفحها والمزايدة عليها دون التفاعل مباشرة مع blockchain.

وترافق هذا النجاح مع مشكلات أمنية كبيرة، حيث عانت الشركة من هجمات استفادت من العقود القديمة أو أفسدت الرموز لسرقة المقتنيات القيمة للمستخدمين.

كانت OpenSea في طور تحديث نظامها التعاقدي عندما وقع الهجوم ، لكن OpenSea نفت أن يكون الهجوم قد نشأ مع العقود الجديدة. العدد الصغير نسبيًا للأهداف يجعل مثل هذه الثغرة غير مرجحة ، حيث من المرجح أن يتم استغلال أي خلل في النظام الأساسي الأوسع نطاقًا أكبر بكثير.

ومع ذلك، لا تزال العديد من تفاصيل الهجوم غير واضحة - لا سيما الطريقة التي استخدمها المهاجمون للحصول على أهداف لتوقيع عقد نصف فارغ. قال الرئيس التنفيذي لشركة OpenSea Devin Finzer ، الذي كتب على Twitter قبل وقت قصير من الساعة 3 صباحًا بالتوقيت الشرقي ، إن الهجمات لم تنشأ من موقع OpenSea الإلكتروني أو أنظمة القوائم المختلفة أو أي رسائل بريد إلكتروني من الشركة.

تشير الوتيرة السريعة للهجوم - مئات المعاملات في غضون ساعات - إلى بعض العوامل الشائعة للهجوم ، ولكن حتى الآن لم يتم اكتشاف أي صلة.

قال Finzer على Twitter: "سنبقيك على اطلاع دائم حيث نتعلم المزيد عن الطبيعة الدقيقة لهجوم التصيد الاحتيالي".