Ngày 19/2, người dùng OpenSea bất ngờ khi nhiều NFT của họ bỗng dưng bị chuyển ra bên ngoài mà chưa có sự đồng ý. Theo thống kê của dịch vụ bảo mật blockchain PeckShield, có 254 NFT bị đánh cắp, gồm các tác phẩm có giá trị từ Decentraland và bộ sưu tập Bored Ape Yacht Club. Ít nhất 32 người dùng bị ảnh hưởng.
Molly White, điều hành blog Web3 is Going Great, giá trị của số NFT bị đánh cắp ước tính 641 ETH (hơn 1,7 triệu USD). Kẻ tấn công nhiều khả năng đã khai thác tính linh hoạt trong giao thức Wyvern - tiêu chuẩn mã nguồn mở là nền tảng cho hầu hết các hợp đồng thông minh NFT, gồm cả giao thức giao dịch thực hiện trên OpenSea.
Trên Twitter, chuyên gia bảo mật độc lập Neso mô tả cuộc tấn công được chia thành hai phần: một phần ghi sẵn các thông tin về hợp đồng thông minh với uỷ quyền chung, phần còn lại chuyển quyền sở hữu các NFT mà không cần thanh toán. Về bản chất, cuộc tấn công giống như việc nạn nhân ký vào một tấm séc trống, còn hacker chỉ cần điền thông tin còn lại để chiếm tài sản.
"Tôi đã kiểm tra mọi giao dịch. Tất cả nạn nhân mất NFT đều có chữ ký hợp lệ", Neso cho biết.
Lời giải thích trên sau đó được CEO OpenSea Devin Finzer chia sẻ lại. Ông nói thêm vào ngày 20/2: "Chúng tôi không tin vụ tấn công bắt nguồn từ website OpenSea. Có vẻ 32 người dùng đã tải về một tệp độc hại từ hacker, khiến một số NFT của họ bị đánh cắp".
Tuy vậy, Finzer cũng thừa nhận OpenSea có thể bị hack theo nhiều cách. Thực tế, tốc độ của sự việc khá nhanh với hàng trăm giao dịch trong vài giờ, cho thấy một số phương thức tấn công khác đã được áp dụng.
Tài khoản Twitter của OpenSea thông báo có thể hacker đã dùng hình thức tấn công giả mạo (phishing) để đánh lừa người dùng. Trang này khuyến cáo người dùng không nên bấm vào bất kỳ liên kết website nào ngoài OpenSea, đồng thời sẽ cập nhật thông tin về nguyên nhân của cuộc tấn công thời gian tới.
OpenSea thành lập năm 2017 dựa trên tiêu chuẩn blockchain Ethereum ERC-721. Việc NFT phát triển nhanh chóng trong 2021 giúp doanh thu sàn tăng vọt, từ 95 triệu USD tháng 2/2021 lên 2,75 tỷ USD vào tháng 9/2021. Tháng 1/2022, công ty được định giá 13,3 tỷ USD, trở thành sàn giao dịch NFT lớn nhất hiện nay.
Bảo Lâm (theo The Verge)