「OpenSeaの脆弱性事件」により大量のNFTが盗まれ、複数の分析でフィッシング攻撃の疑いが浮上

2月20日朝、「OpenSeaの新しい移行契約にバグがあり、高額のNFTが大量に盗まれた疑いがある」という問題が白熱した議論を巻き起こした。

複数のTwitter KOLによると、この事件はOpenSeaが昨日開始した新しい移行契約（アドレス：0xa2c0946aD444DCCf990394C5cBe019a858A945bD）のバグと思われるものが原因で発生したとのこと。攻撃者（アドレス：0x3e0defb880cd8e163bad68abe66437f99a7a8a74）は、このバグを利用して大量のNFTを盗み、裁定取引のために販売しました。盗まれたNFTには、BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfersなどの高価値シリーズが含まれています。

新しい移行契約は、OpenSea によってリリースされた新しいアップグレードです。昨日、OpenSea はスマート コントラクトのアップグレードが完了し、新しいスマート コントラクトが開始されたことを発表しました。スマート コントラクトを移行するには、ユーザーは注文移行リクエストに署名する必要があります。このリクエストに署名してもガス料金はかかりません。また、NFT を再承認したりウォレットを初期化したりする必要もありません。移行期間中、古いスマート コントラクトの見積りは無効になります。契約のアップグレードが完了した後、英語のオークションは数時間一時的に無効になります。新しい契約が有効になると、新しい時間指定オークションを再度作成できるようになります。既存のスマート コントラクトのダッチ オークションは、移行期間の終了時である 2 月 26 日の北京時間午前 3 時に終了します。

Twitter KOL「Jon_HQ」はツイートで、攻撃者はガス料金として合計750ドルを費やし、ETHの購入には支払わなかったが、Azuki 4個、Coolman 2個、Doodle 2個、KaijuKing 2個、MAYC 1個、Cool Cat 1個、BAYC 1個などを入手したと指摘した。

ホエール氏はツイッターでも、OpenSeaの「脆弱性悪用」により、ユーザーはあらゆるNFTを誰からでも売ったり盗んだりすることができ、損失は2億ドルを超えたと述べた。

そして、皆が議論しているうちに、「OpenSea 事件」の展開は一転し、攻撃は BUG によるものではないことが判明しました。

gmDAOの創設者Cyphr.ETHは、ハッカーが数日前に発生した「本物のOpenSea」メールを標準的なフィッシングメールを使ってコピーし、その後、一部のユーザーにWyvernExchangeを使用して許可に署名するよう求めたとツイートした。 OpenSea には脆弱性はなく、ただ人々がいつものように署名の権限を読み取らなかっただけです。

セキュリティ会社ペックシールドも、確認はされていないものの、オープンシーのハッキングはフィッシング攻撃だった可能性が高いと述べた。ユーザーはフィッシングメールの指示に従って「移行」を承認しましたが、残念ながらハッカーが貴重なNFTを盗むことができました…

Ethereum のスマート コントラクト プログラミング言語 Solidity の開発元である Foobar は、ハッカーが 30 日前にデプロイされたアシスタント コントラクトを使用して、有効な atomicMatch() データを使用して 4 年前にデプロイされたオペレーティング システム コントラクトを呼び出したことを分析しました。これは数週間前の典型的なフィッシング攻撃だったかもしれません。スマート コントラクトの脆弱性ではなく、コードは安全です。

現在、OpenSea はこの件について調査を開始しており、Twitter で次のように回答しています。「OpenSea のスマート コントラクトに関する噂を積極的に調査しています。これは OpenSea の Web サイト外からのフィッシング攻撃のようです。http://opensea.io 以外のリンクはクリックしないでください。」

複数のTwitter KOLと公式声明によると、この脆弱性インシデントの原因は、基本的に外部からのフィッシング攻撃によるものであるはずです。しかし、いくつかの異なる声も出てきました。

例えば、OracleHawkのCEOであるジェイコブ・キング氏は、コードのスクリーンショットをツイートし、次のように述べている。「OpenSeaは現在、脆弱性は実際には人々が受信したフィッシングメールに過ぎなかったと主張していますが、これは100％真実ではありません。しかし、彼らのコードに欠陥があったために、史上最大のNFTエクスプロイトの一つが生まれました。」

この脆弱性の最終的な原因を突き止めるには、OpenSea の調査結果を待つ必要があります。