Los atacantes robaron cientos de NFT de los usuarios de OpenSea, causando un pánico nocturno entre la amplia base de usuarios del sitio. Una hoja de cálculo compilada por el servicio de seguridad blockchain PeckShield contó 254 tokens robados en el transcurso del ataque, incluyendo tokens de Decentraland y Bored Ape Yacht Club.
La mayor parte de los ataques se produjeron entre las 5 y las 8 de la tarde, hora del este, y se dirigieron a 32 usuarios en total. Molly White, que dirige el blog Web3 is Going Great, estimó el valor de los tokens robados en más de 1,7 millones de dólares.
El ataque parece haber explotado una flexibilidad en el Protocolo Wyvern, el estándar de código abierto que subyace a la mayoría de los contratos inteligentes NFT, incluidos los realizados en OpenSea. Una explicación (enlazada por el CEO Devin Finzer en Twitter) describió el ataque en dos partes: primero, los objetivos firmaron un contrato parcial, con una autorización general y grandes partes dejadas en blanco. Con la firma en su lugar, los atacantes completaban el contrato con una llamada a su propio contrato, que transfería la propiedad de los NFT sin pago. En esencia, los objetivos del ataque habían firmado un cheque en blanco, y una vez firmado, los atacantes rellenaban el resto del cheque para hacerse con sus participaciones.
Valorada en 13.000 millones de dólares en una reciente ronda de financiación, OpenSea se ha convertido en una de las empresas más valiosas del boom de las NFT, proporcionando una interfaz sencilla para que los usuarios puedan listar, navegar y pujar por tokens sin interactuar directamente con la blockchain. Ese éxito ha venido acompañado de importantes problemas de seguridad, ya que la empresa ha luchado contra ataques que aprovechaban contratos antiguos o tokens envenenados para robar las valiosas participaciones de los usuarios.
OpenSea estaba en proceso de actualizar su sistema de contratos cuando se produjo el ataque, pero OpenSea ha negado que el ataque se haya originado con los nuevos contratos. El número relativamente pequeño de objetivos hace improbable una vulnerabilidad de este tipo, ya que cualquier fallo en la plataforma más amplia probablemente sería explotado a una escala mucho mayor.
Sin embargo, muchos detalles del ataque siguen sin estar claros, en particular el método que utilizaron los atacantes para conseguir que los objetivos firmaran el contrato a medias. Escribiendo en Twitter poco antes de las 3 de la madrugada, el director general de OpenSea, Devin Finzer, dijo que los ataques no se habían originado en el sitio web de OpenSea, ni en sus diversos sistemas de anuncios, ni en ningún correo electrónico de la empresa. El rápido ritmo del ataque – cientos de transacciones en cuestión de horas – sugiere algún vector común de ataque, pero hasta ahora no se ha descubierto algún vínculo.
Con información de Europa Press.