Samedi, des attaquants ont volé des centaines de NFT aux utilisateurs d’OpenSea, provoquant une panique nocturne parmi la large base d’utilisateurs du site. Une feuille de calcul compilé par le service de sécurité blockchain PeckShield a compté 254 jetons volés au cours de l’attaque, y compris des jetons de Decentraland et Bored Ape Yacht Club.
La majeure partie des attaques a eu lieu entre 17 h et 20 h HE, ciblant 32 utilisateurs au total. Molly White, qui dirige le blog Web3 is Going Great, a estimé la valeur des jetons volés à plus de 1,7 million de dollars.
L’attaque semble avoir exploité une flexibilité dans le protocole Wyvern, la norme open source sous-jacente à la plupart des contrats intelligents NFT, y compris ceux conclus sur OpenSea. Une explication (liée par le PDG Devin Finzer sur Twitter) a décrit l’attaque en deux parties : premièrement, les cibles ont signé un contrat partiel, avec une autorisation générale et de grandes parties laissées en blanc. Une fois la signature en place, les attaquants ont conclu le contrat avec un appel à leur propre contrat, qui a transféré la propriété des NFT sans paiement. Essentiellement, les cibles de l’attaque avaient signé un chèque en blanc – et une fois qu’il a été signé, les attaquants ont rempli le reste du chèque pour prendre leurs possessions.
« J’ai vérifié chaque transaction », a déclaré l’utilisateur, qui passe par Neso. « Ils ont tous des signatures valides des personnes qui ont perdu des NFT, donc quiconque prétend qu’il n’a pas été victime d’hameçonnage mais qu’il a perdu des NFT a malheureusement tort. »
Évaluée à 13 milliards de dollars lors d’un récent cycle de financement, OpenSea est devenue l’une des entreprises les plus précieuses du boom NFT, offrant une interface simple permettant aux utilisateurs de répertorier, parcourir et enchérir sur des jetons sans interagir directement avec la blockchain. Ce succès s’est accompagné de problèmes de sécurité importants, car l’entreprise a lutté contre des attaques qui exploitaient d’anciens contrats ou des jetons empoisonnés pour voler les précieux avoirs des utilisateurs.
OpenSea était en train de mettre à jour son système de contrats lorsque l’attaque a eu lieu, mais OpenSea a nié que l’attaque provenait des nouveaux contrats. Le nombre relativement faible de cibles rend une telle vulnérabilité peu probable, car toute faille dans la plate-forme plus large serait probablement exploitée à une échelle beaucoup plus grande.
Pourtant, de nombreux détails de l’attaque restent flous, en particulier la méthode utilisée par les attaquants pour amener les cibles à signer le contrat à moitié vide. Écrivant sur Twitter peu avant 3 heures du matin HE, le PDG d’OpenSea, Devin Finzer, a déclaré que les attaques ne provenaient pas de Site Internet d’OpenSea, ses différents systèmes de référencementou tous les e-mails de l’entreprise. Le rythme rapide de l’attaque – des centaines de transactions en quelques heures – suggère un vecteur d’attaque commun, mais jusqu’à présent, aucun lien n’a été découvert.
« Nous vous tiendrons au courant au fur et à mesure que nous en apprendrons davantage sur la nature exacte de l’attaque de phishing », a déclaré Finzer sur Twitter. « Si vous avez des informations spécifiques qui pourraient être utiles, veuillez DM @opensea_support.”
Emma Roth a également contribué au reportage.