Sáng nay, sự cố nghi ngờ có lỗi trong OpenSea đã gây nhiều chú ý và thảo luận sôi nổi.

Nguyên nhân của sự cố là do một số người dùng đã tweet vào sáng nay để cảnh báo rằng hợp đồng di chuyển mới (địa chỉ: 0xa2c0946aD444DCCf990394C5cBe019a858A945bD) do OpenSea tung ra ngày hôm qua bị nghi ngờ có lỗi và kẻ tấn công (địa chỉ: 0x3e0defb880cd8e163bad68abe66437f99a7a8a) 74) là Sử dụng lỗi này để đánh cắp một số lượng lớn NFT và bán chúng để kinh doanh chênh lệch giá .

Đánh giá từ ảnh chụp màn hình ví của kẻ tấn công, NFT hiện bị đánh cắp bao gồm nhiều dòng có giá trị cao như BAYC, BAKC, MAYC, Azuki, Cool Cats, Doodles, Mfers, v.v. Một số trong số chúng đã được bán với giá sàn , nhưng một số đã bị đảo ngược Trả lại địa chỉ bị đánh cắp (tin tặc cũng đã gửi một số ETH cho một số người dùng bị đánh cắp).

Cái gọi là hợp đồng di chuyển đến từ một bản nâng cấp mới được OpenSea phát hành ngày hôm qua. Hôm qua, OpenSea đã thông báo rằng việc nâng cấp hợp đồng thông minh của họ đã hoàn tất và hợp đồng thông minh mới đã được khởi chạy. Người dùng cần ký một yêu cầu di chuyển đơn đặt hàng đang chờ xử lý để di chuyển hợp đồng thông minh. Việc ký yêu cầu này không yêu cầu phí Gas và không có cần phê duyệt lại NFT hoặc khởi tạo ví. Trong quá trình di chuyển, báo giá trên hợp đồng thông minh cũ sẽ bị vô hiệu. Phiên đấu giá kiểu Anh sẽ tạm thời bị vô hiệu hóa trong vài giờ sau khi quá trình nâng cấp hợp đồng hoàn tất. Sau khi hợp đồng mới có hiệu lực, bạn có thể tạo lại phiên đấu giá theo thời gian mới. Phiên đấu giá của Hà Lan cho các hợp đồng thông minh hiện có sẽ hết hạn vào cuối giai đoạn di chuyển lúc 3:00 ngày 26 tháng 2, giờ Bắc Kinh.

Sau vụ việc, OpenSea đã phản hồi trên Twitter chính thức của mình: "Chúng tôi đang tích cực điều tra những tin đồn liên quan đến hợp đồng thông minh của OpenSea. Đây có vẻ như là một cuộc tấn công lừa đảo từ bên ngoài trang web của OpenSea. Đừng nhấp vàohttp://opensea.ioBất kỳ liên kết nào khác ngoài . "

Alchemix, cộng tác viên của Sushiswap, người dùng Twitter @0xfoobar cũng đã đăng một cuộc điều tra cá nhân về vấn đề này trên Twitter sau vụ việc. @0xfoobar cho biết hacker đã sử dụng hợp đồng chương trình phụ trợ được triển khai 30 ngày trước để gọi hợp đồng OpenSea được triển khai 4 năm trước Hợp đồng phụ trợ cũng có dữ liệu Atommatch() hợp lệ, có thể đã bắt đầu tấn công từ vài tuần trước. để tấn công trước khi tất cả các lệnh chờ hết hạn.

@0xfoobar phân tích thêm rằng mối quan hệ duy nhất giữa vấn đề này và hợp đồng di chuyển mới của OpenSea là tất cả các đơn đặt hàng đang chờ xử lý trước đây sẽ hết hạn trong vòng 6 ngày sau khi hợp đồng thông minh của OpenSea được nâng cấp, cũng bao gồm tất cả các đơn đặt hàng từ các địa chỉ đã bị vi phạm bởi các đơn đặt hàng đang chờ xử lý lừa đảo , vì vậy hacker đã phải hành động ngay lập tức. Nói cách khác, đây là một cuộc tấn công lừa đảo, không phải là lỗ hổng hợp đồng thông minh nói chung và không có gì sai với hợp đồng của OpenSea.

Phân tích của @ 0xfoobar trùng khớp với một số phân tích lớn khác của chữ V. Cyphr.ETH, người sáng lập gmDAO, đã tweet rằng tin tặc đã sử dụng email lừa đảo tiêu chuẩn để sao chép email OpenSea chính hãng được gửi vài ngày trước, sau đó cho phép một số người dùng sử dụng quyền Đăng ký WyvernExchange. OpenSea không dễ bị tổn thương, chỉ là mọi người không có quyền đọc chữ ký như họ thường làm.

Cho đến nay, nguyên nhân của sự cố bảo mật này đã cơ bản được làm rõ. Nhóm bị ảnh hưởng là những người dùng đã nhấp vào email trên và ký cấp phép. Vì lý do an toàn, chúng tôi khuyến nghị những người dùng này tạm thời thu hồi tất cả các quyền của OpenSea. Các công cụ ký ủy quyền hợp đồng có sẵn bao gồmhttps://revoke.cash/hoặchttps://zapper.fi/revokehoặchttps://etherscan.io/tokenapprovalcheckerhoặchttps://approved.zone/hoặchttps://tac.dappstar.io/#/, một số trang web có thể không mở được do lưu lượng truy cập lớn hiện tại, bạn có thể thử thêm.