Критична небезпека: хакери отримали доступ до викрадення будь-якого NFT на найбільшому маркетплейсі NFT токенів

Дослідники з безпеки компанії Pocket Universe виявили критичну вразливість в одному зі старих смарт-контрактів NFT-маркетплейсу OpenSea — через це хакери можуть викрадати будь-які невзаємозамінні токени, розміщені на платформі до травня 2022 року.

Згідно з інформацією експертів, експлойт зафіксували під час переходу маркетплейсу на протокол Seaport, після цього дослідникам вдалось поспілкуватися з одним з постраждалих, який втратив свої NFT.

1. What could you lose? 💸

Well, it can drain any NFT that you've listed on Opensea from before May 2022

That's before they updated to Seaport pic.twitter.com/8yMCytSjjz

— Pocket Universe 🟣 (@PocketUniverseZ) October 28, 2022

Оновлення Seaport відбулось 23 травня, тому всі NFT, розміщені на маркетплейсі до цього часу, знаходяться в зоні ризику. Для перевірки NFT-замовлень OpenSea використовує протокол Wyvern: під час лістингу токенів формується проксі-контракт із правом їхнього повернення. Користувач сам надає дозвіл на цю операцію, додаючи свою адресу. Завдяки експлойту хакери міняють адресу для повернення NFT. Таким чином, під час лістингу токенів користувачі дають дозвіл на повернення на адресу хакерів.

Враховуючи, що раніше про цей експлойт не повідомляли на широкий загал, дослідники Pocket Universe вважають, що постраждалих може бути багато. Тому користувачам радять ретельно перевіряти всі транзакції та відмінити будь-які дозволи за старими контрактами. Таким чином хакери не зможуть повернути токени користувача на свою адресу.

Хакери-викрадачі - не єдина проблема маркетплейсу, так наприкінці серпня учасники крипто-спільноти були обурені нововведеннями від OpenSea. Платформа внесла зміни у свою політику боротьби з краденими NFT — користувачам дозволили перепродавати викрадені невзаємозамінні токени, якщо маркетплейс не отримує про них повідомлення від правоохоронців. Як стало відомо з публікації на офіційному Твіттер-аккаунті OpenSea, якщо впродовж семи днів після розміщення викрадених NFT правоохоронні органи не реагують на такий перепродаж — власники NFT мають право торгувати ними. Таким чином представники OpenSea борються з фальшивими скаргами про крадіжки.