Hơn 1,7 triệu USD NFT vừa bị đánh cắp

Thế Anh

(Dân trí) - Trang The Verge đưa tin vào ngày 19/2, hàng trăm NFT của người dùng trên nền tảng OpenSea đã bị đánh cắp.

Theo thống kê từ dịch vụ bảo mật blockchain PeckShield, 254 NFT đã bị lấy cắp, trong đó có cả các tác phẩm có giá trị từ Decentraland và Bored Ape Yacht Club. Tổng cộng 32 người dùng đã bị tấn công. Theo ước tính của Molly White, người điều hành blog Web3 is Going Great, giá trị của số NFT bị đánh cắp là hơn 1,7 triệu USD.

Theo The Verge, cuộc tấn công đã khai thác tính linh hoạt trong giao thức Wyvern - tiêu chuẩn mã nguồn mở là nền tảng cho hầu hết các hợp đồng thông minh NFT, bao gồm cả những hợp đồng được thực hiện trên OpenSea.

Hơn 1,7 triệu USD NFT vừa bị đánh cắp - 1

Cuộc tấn công đã khai thác tính linh hoạt trong giao thức Wyvern (Ảnh: CNBC).

Chuyên gia bảo mật Neso cho rằng cuộc tấn công được chia thành hai phần: một phần ghi sẵn các thông tin về hợp đồng thông minh với ủy quyền chung, phần còn lại chuyển quyền sở hữu các NFT mà không cần thanh toán. Về bản chất, các nạn nhân của cuộc tấn công đã ký vào một tấm séc trống và những kẻ tấn công chỉ cần điền vào phần còn lại của tờ séc để chiếm đoạt tài sản.

"Tôi đã kiểm tra mọi giao dịch. Tất cả chúng đều có chữ ký hợp lệ từ những người bị mất NFT", Neso cho biết.

Được định giá 13 tỷ USD trong vòng gọi vốn gần đây, OpenSea đã trở thành một trong những công ty có giá trị nhất trong thời kỳ bùng nổ của NFT. Sàn giao dịch này cung cấp một giao diện đơn giản để người dùng có thể liệt kê, duyệt và đặt giá thầu cho các NFT.

Tuy vậy, thành công quá nhanh của họ cũng đi kèm với không ít vấn đề liên quan đến bảo mật. Công ty đang phải vật lộn với các cuộc tấn công lợi dụng kẽ hở của các hợp đồng thông minh cũ hoặc mã độc nhằm đánh cắp tài sản có giá trị của người dùng.

OpenSea được cho là đang trong quá trình cập nhật hệ thống của mình khi cuộc tấn công diễn ra. Tuy vậy, công ty phủ nhận rằng cuộc tấn công bắt nguồn từ các hợp đồng thông minh mới. 

"Chúng tôi sẽ cập nhật thêm thông tin khi tìm hiểu được chính xác bản chất của cuộc tấn công lừa đảo này", Devin Finzer, CEO của OpenSea cho biết trên Twitter.

Theo www.theverge.com