Teknoloji

OpenSea kullanıcılarını hedefleyen 1.7 milyon dolarlık NFT saldırısı

opensea

Geçtiğimiz cumartesi günü, siber korsanlar OpenSea kullanıcılarından yüzlerce NFT çaldı ve bu durum sitenin geniş kullanıcı kitlesinde paniğe neden oldu.

Blockchain güvenlik hizmeti PeckShield tarafından derlenen bir e-tablo, saldırı sırasında Decentraland ve Bored Ape Yacht Club’dan tokenlar da dahil olmak üzere, çalınan 254 token olduğunu dile getirdi. Saldırıların büyük kısmı, toplamda 32 kullanıcıyı hedef aldı ve cumartesiyi pazara bağlayan gece TSİ 01.00 ile 04.00 arasında gerçekleşti. Web3 is Going Great adlı blogu yöneten Molly White, çalınan token’ların değerinin 1,7 milyon dolardan fazla olduğunu tahmin ediyor.

Saldırı, OpenSea’de yapılanlar da dahil olmak üzere çoğu NFT akıllı sözleşmesinin altında yatan açık kaynak standardı olan Wyvern Protokolü‘ndeki bir esneklikten yararlanmış gibi görünüyor. Twitter’da CEO Devin Finzer tarafından bağlantılı olarak yapılan bir açıklamada saldırıyı iki bölümde tanımlandı: İlk olarak, hedeflenen hesaplar genel bir yetkilendirme ile kısmi bir sözleşme imzaladı ve büyük bölümler boş bırakıldı. İmza var durumdayken, saldırganlar, NFT’lerin sahipliğini ödeme yapmadan devreden, kendi sözleşmelerine yapılan bir çağrıyla sözleşmeyi tamamladılar. Özünde, saldırının hedefleri boş bir çek imzalamıştı ve bunlar, imzalandıktan sonra, saldırganlar onların elindekileri almak için çekin geri kalanını doldurdu.

Neso’yu bir kullanan kullanıcı, “Her işlemi kontrol ettim” dedi. “NFT’lerini kaybeden insanların hepsinden geçerli imzaları var, bu nedenle kimlik avına uğramadıklarını ancak NFT’leri kaybettiğini iddia eden herkes ne yazık ki yanılıyor.”

Yakın tarihli bir finansman turunda 13 milyar dolar değerleme alan OpenSea, NFT patlamasının en değerli şirketlerinden biri haline geldi. Bu site, kullanıcıların doğrudan blok zinciri ile etkileşime girmeden belirteçleri listelemesi, göz atması ve teklif vermesi için basit bir arayüz sağladı. Şirket, kullanıcıların değerli varlıklarını çalmak için eski sözleşmelerden veya sahte token’lardan yararlanan saldırılarla mücadele ettiğinden, bu başarı önemli güvenlik sorunlarıyla birlikte geldi.

OpenSea, saldırı gerçekleştiği zamanlarda sözleşme sistemini güncelleme sürecindeydi, ancak şirket, saldırının yeni sözleşme sisteminden kaynaklanmadığını söyledi. Nispeten az sayıda hedef, böyle bir güvenlik açığını olası kılmaz, çünkü daha geniş platformdaki herhangi bir kusurdan çok daha büyük bir ölçekte yararlanılabilir.

Yine de, saldırının birçok ayrıntısı belirsizliğini koruyor. Özellikle saldırganların, yarısı boş olan sözleşmeyi imzalatmak amacıyla hedefleri yakalamak için kullandıkları yöntem bilinmiyor. OpenSea CEO’su Devin Finzer,  saldırıların OpenSea’nin web sitesinden, çeşitli listeleme sistemlerinden veya şirketten gelen herhangi bir e-postadan kaynaklanmadığını söyledi. Saldırının sadece birkaç saat içinde yüzlerce işlemle gerçekleşen hızı, bazı ortak saldırı vektörlerini akla getiriyor, ancak şu ana kadar hiçbir bağlantı keşfedilmedi.

Finzer Twitter’da “Oltalama saldırısının tam doğası hakkında daha fazla bilgi edindikçe sizi güncel tutacağız.” dedi. “Yararlı olabilecek özel bilgileriniz varsa lütfen @opensea_support. adresine direkt mesaj gönderin.” şeklinde bir mesaj da paylaştı.