No último sábado (19), invasores roubaram centenas de NFTs de usuários do OpenSea, famoso marketplace de tokens não fungíveis. Isso causou pânico noturno entre a ampla base de usuários do site.
Uma planilha compilada pelo PeckShield, um serviço de segurança de blockchain, listou 254 tokens roubados ao longo do ataque, incluindo tokens da Decentraland e do Bored Ape Yacht Club, A maior parte dos ataques ocorreu entre 17h e 20h do horário local.
Leia também
Como comprar NFT? Conheça plataformas de compra e venda
O que é bitcoin e blockchain?
Molly White, que administra o blog Web3 is Going Great, estimou o valor dos tokens roubados em mais de US$ 1,7 milhão. Isso dá mais de R$ 8,6 milhões em NFTs.
A OpenSea inicialmente disse que 32 usuários foram afetados, mas depois corrigiu esse número para 17, dizendo que 15 da contagem inicial interagiram com o invasor, mas não perderam tokens durante a interação.
O ataque parece ter explorado uma vulnerabilidade no Protocolo Wyvern, o padrão de código aberto subjacente à maioria dos contratos inteligentes de NFT, incluindo aqueles feitos no OpenSea.
Uma explicação, feita pelo CEO Devin Finzer no Twitter, descreveu o ataque em duas partes: primeiro, os alvos assinaram um contrato parcial, com uma autorização geral e grandes porções deixadas em branco. Com a assinatura no lugar, os invasores concluíram o contrato com uma chamada para seu próprio contrato, que transferiu a propriedade dos NFTs sem pagamento. Em essência, os alvos do ataque assinaram um cheque em branco. E uma vez assinado, os invasores preencheram o restante do cheque para tomar suas posses.
“Verifiquei todas as transações”, disse um usuário, que atende por Neso. “Todos eles têm assinaturas válidas das pessoas que perderam NFTs, então qualquer um que afirme que não sofreu phishing, mas perdeu NFTs está tristemente errado”.
Avaliada em US$ 13 bilhões em uma rodada de financiamento recente, a OpenSea se tornou uma das empresas mais valiosas do boom da NFT, fornecendo uma interface simples para os usuários listarem, navegarem e fazerem lances em tokens sem interagir diretamente com a blockchain.
Esse sucesso veio com problemas de segurança significativos, já que a empresa lutou com ataques que alavancaram contratos antigos ou tokens envenenados para roubar as valiosas propriedades dos usuários.
A OpenSea estava em processo de atualização de seu sistema de contratos quando o ataque ocorreu, mas a empresa negou que o ataque tenha se originado com os novos contratos. O número relativamente pequeno de alvos torna essa vulnerabilidade improvável, já que qualquer falha mais ampla na plataforma provavelmente seria explorada em uma escala muito maior.
Ainda assim, muitos detalhes do ataque permanecem obscuros. Como por exemplo, o método que os invasores usaram para fazer com que os alvos assinem o contrato incompleto. Em um post no Twitter, o CEO da OpenSea, Devin Finzer, disse que os ataques não se originaram do site da OpenSea, de seus vários sistemas de listagem ou de qualquer e-mail da empresa. O ritmo acelerado do ataque – centenas de transações em questão de horas – sugere algum vetor comum de ataque, mas até agora nenhum link foi descoberto.
“Vamos mantê-lo atualizado à medida que aprendemos mais sobre a natureza exata do ataque de phishing”, disse Finzer no Twitter. “Se você tiver informações específicas que possam ser úteis, envie uma mensagem direta para @opensea_support.”
Isso deixa claro que a empresa ainda está investigando e não sabe ao certo a origem dessa invasão.