Yaklaşık üç saat içinde iki yüz elli dört token çalındı
Cumartesi günü, yapılan dijital saldırı, kullanıcılarda paniğe neden oldu. Blockchain güvenlik hizmeti PeckShield tarafından derlenen bir elektronik tablo, saldırı sırasında Decentraland ve Bored Ape Yacht Club'dan tokenlar da dahil olmak üzere 254 token çalındığını duyurdu.
Saldırıların büyük kısmı, toplamda 32 kullanıcıyı hedef alarak 17:00 ile 20:00 arasında gerçekleşti. Web3 is Going Great adlı blogu yöneten Molly White, çalınan token değerlerini 1.7 milyon dolardan fazla olarak tahmin ediyor.
Saldırı, OpenSea'de yapılanlar da dahil olmak üzere çoğu NFT akıllı sözleşmesinin altında yatan açık kaynak standardı olan Wyvern Protokolü'ndeki bir açıktan yararlanmış gibi görünüyor. OpenSea CEO'su Devin Finzer tarafından Twitter'da paylaşılan içerikte saldırıyı iki bölümde tanımladı: ilk olarak, hedefler genel bir yetkilendirme ile kısmi bir sözleşme imzaladı ve büyük bölümler boş bırakıldı. İmza sonrası, saldırganlar, NFT'lerin sahipliğini ödeme yapmadan devreden kendi sözleşmelerine yapılan bir çağrıyla sözleşmeyi tamamladılar. Temelde, saldırının hedefleri boş bir çek imzalamıştı ve imzalandıktan sonra, saldırganlar elindekileri almak için çekin geri kalanını doldurdu.
Son zamanlardaki bir finansman turunda 13 milyar dolar değerinde olan OpenSea, NFT furyasında öne çıkan en değerli şirketlerinden biri haline geldi ve kullanıcıların doğrudan blok zinciri ile etkileşime girmeden belirteçleri listelemesi, göz atması ve teklif vermesi için basit bir arayüz sağladı. Şirket, kullanıcıların değerli varlıklarını çalmak için eski sözleşmelerden yararlanan veya token hırsızlığı odaklı saldırılarla mücadele ettiğinden, bu başarı önemli güvenlik sorunları gündeme geldi.
OpenSea, saldırı gerçekleştiğinde sözleşme sistemini güncelleme sürecindeydi, ancak OpenSea, saldırının yeni sözleşmelerden kaynaklandığını reddetti. Nispeten az sayıda hedef, böyle bir güvenlik açığını olası kılmaz, çünkü daha geniş platformdaki herhangi bir kusurdan çok daha büyük bir ölçekte yararlanılabilir.
Yine de, saldırının birçok ayrıntısı belirsizliğini koruyor. Özellikle saldırganların yarı boş sözleşmeyi imzalamak hedefleri avlamak için kullandıkları ana yöntem olarak dikkat çekiyor. OpenSea CEO'su Devin Finzer, 03:00'den kısa bir süre önce Twitter'da yazan saldırıların OpenSea'nin web sitesinden, çeşitli listeleme sistemlerinden veya şirketten gelen herhangi bir e-postadan kaynaklanmadığını söyledi. Saldırının zamanlaması ve hızı açısından bakıldığında birkaç saat içinde yüzlerce işlem, bazı ortak saldırı olasılıklarını akla getiriyor, ancak şu ana kadar hiçbir doğrulayıcı unsura rastlanmadı.
Comentarios