A blokklánc-alapú nem helyettesíthető tokenek, vagyis az NFT-k körüli őrület nem csak a világcégek érdeklődését keltette fel, de a zavarosban halászó nyerészkedőket és kiberbűnözőket is cselekvésre sarkallta, így egyelőre erősen vadnyugati állapotok uralkodnak a decentralizált tokenbizniszben.
Mi sem bizonyítja ezt jobban, mint hogy nemrég kirabolták a legnagyobb NFT-piac, a több mint 13 milliárd dollár értékűre taksált OpenSea 254 felhasználóját, 1,7 millió dollárnyi (532 millió forintnyi) digitális vagyontól fosztva meg őket.
A tömeges rablásra a tegnapi nap során, mindössze három óra leforgása alatt került sor, a PeckShield elemzőcég pedig közzé is tett egy táblázatot az ellopott tokenek listájával. A lajstromban olyan ismert kollekciók is felbukkannak, mint a Samsung virtuális boltjának is otthont adó Decentraland, vagy az elképesztő összegekért gazdát cserélő Bored Ape Yacht Club NFT-i.
A támadást egy phishing-trükkel hajtották végre: az érintett felhasználók hiányosan kitöltött, hamis megbízásokat írtak alá, melyek segítségével az elkövető vagy elkövetők hivatalosan is megszerezték a tokenek tulajdonjogát. Nagyon leegyszerűsítve: az áldozatok a tudtuk nélkül biankó csekket állítottak ki a tolvajoknak, vagyis maguk adták áldásukat a tranzakciókra. A Neso néven posztoló NFT-szakértő a Twitteren igyekezett elmagyarázni a történteket, szerinte minden egyes szerződésen ott van az eladók hiteles aláírása.
Seen confusion about the OS thing so.
— Neso (@Nesotual) February 20, 2022
Attacker had people sign half of a valid wyvern order, the order was basically empty except the target (attacker contract) and calldata, attacker signs other half of order.
Az OpenSea épp most végzi a szerződési rendszer átalakítását, ám a piactér szerint a történteknek nincs közük ehhez. A támadás részleteit viszont továbbra is homály fedi, így nem tudni, hogy miként vették rá az áldozatokat a hamis megbízások hitelesítésére, vagy hogy miért pont abban a 3 órában került sor a rablásra, amikor.
Cikkünk írásakor az OpenSea még mindig azon dolgozik, hogy felderítse az esetet, a fejleményekről a Twitteren tájékoztatják a nyilvánosságot.
