/cdn.vox-cdn.com/uploads/chorus_image/image/70531159/acastro_220215_STK007_0005.0.jpg)
ในวันเสาร์ที่ผ่านมา พบผู้โจมตีได้ทำการขโมย NFT หลายร้อยชิ้น จากผู้ใช้งาน OpenSea จนก่อให้เกิดความแตกตื่นกับผู้ใช้งานเว็บไซต์
Spreadsheet ที่รวบรวมโดย PeckShield บริษัทให้บริการรักษาความปลอดภัยบน Blockchain แสดงจำนวน NFT ที่ถูกขโมยจากการโจมตีนี้ว่ามีทั้งหมด 254 ชิ้น ซึ่งรวมถึง NFT จาก Decentraland และ Bored Ape Yacht Club ด้วย
การโจมตีจำนวนมากเกิดขึ้นเมื่อวันเสาร์ เวลา 5PM ถึง 8PM Eastern Time (วันอาทิตย์ 5 นาฬิกา ถึง 8 นาฬิกา เวลาไทย) โดยมีเป้าหมายเป็นผู้ใช้งานทั้งหมด 32 บัญชี
Molly White เจ้าของบล็อก web3isgoinggreat.com ได้ประเมินมูลค่า NFT ที่ถูกขโมยไปว่ามีมูลค่ามากกว่า 1.7 ล้านดอลลาร์
การโจมตีปรากฏร่องรอยว่าเป็นการใช้ประโยชน์จาก Wyvern Protocol ซึ่งเป็น Open source ที่ทำงานอยู่เบื้องหลัง NFT Smart Contract ส่วนใหญ่ ซึ่งรวมถึง NFT ที่ถูกสร้างขึ้นบน OpenSea ด้วย
คำอธิบายหนึ่ง (จากลิงก์ของ OpenSea CEO Devin Finzer บน Twitter) อธิบายการโจมตีไว้เป็น 2 ส่วนโดยในส่วนแรก ผู้โจมตีได้หลอกให้เป้าหมาย Signed a partial contract ด้วย General authorization โดยส่วนที่เหลือนั้นปล่อยว่างไว้ ส่วนที่สอง เมื่อได้รับลายเซ็น (Signature) ของเป้าหมายแล้ว ผู้โจมตีได้ทำให้ Contract สมบูรณ์ด้วยการ Call ไปยัง Contract ของเขาเอง ซึ่งจะทำการโอนย้ายสิทธิ์ความเป็นเจ้าของ NFT โดยที่ไม่ต้องจ่ายเงิน อธิบายให้เข้าใจง่ายขึ้นก็คือ เป้าหมายของการโจมตีถูกหลอกให้เซ็นเช็คเปล่าทิ้งไว้ เมื่อเซ็นเรียบร้อยแล้วผู้โจมตีก็เติมข้อมูลส่วนที่เหลือเพื่อขโมยทรัพย์สินของเหยื่อได้ตามต้องการ
จากการระดมทุนรอบล่าสุด ตีมูลค่าได้หนึ่งหมื่นสามพันล้านดอลลาร์ ทำให้ OpenSea ได้กลายเป็นหนึ่งในบริษัทที่มีมูลค่าสูงที่สุด ในช่วงที่ NFT เติบโตขึ้นอย่างรวดเร็ว OpenSea มีหน้าตาที่ใช้งานง่าย ผู้ใช้งานสามารถลงขาย เลือกดู และประมูลผลงาน NFT ได้โดยไม่ต้องโต้ตอบโดยตรงกับ Blockchain ซึ่งความสำเร็จนั้นก็มาควบคู่กันกับปัญหาด้านความปลอดภัย ซึ่งทางบริษัทก็กำลังเจอกับการโจมตีเพื่อพยายามขโมยทรัพย์สินที่มีมูลค่าของผู้ใช้+งาน
OpenSea อยู่ในระหว่างการอัปเดตระบบสัญญาในขณะที่เกิดการโจมตีขึ้น แต่ OpenSea ปฏิเสธว่าการโจมตีนั้นไม่ได้เกิดจากสัญญาใหม่ โดยให้เหตุผลว่าจำนวนเป้าหมายที่น้อยมากนั้นไม่น่าจะเกิดจากช่องโหว่ เนื่องจากหากช่องโหว่ที่พบนั้นเกิดขึ้นกับแพลตฟอร์มที่มีผู้ใช้งานอย่างกว้างขวางแล้ว แพลตฟอร์มควรจะถูกโจมตีในระดับที่ใหญ่กว่านี้
อย่างไรก็ตามรายละเอียดของการโจมตีนั้นยังคงไม่ชัดเจน โดยเฉพาะวิธีการที่ผู้โจมตีใช้เพื่อให้เหยื่อเซ็นสัญญาที่ครึ่งหนึ่งนั้นว่างเปล่า
OpenSea CEO กล่าวบน Twitter ว่า การโจมตีนั้นไม่ได้มาจากทางเว็บไซต์ของ OpenSea, ระบบการลงขายผลงาน หรือ Email จากบริษัท จากการโจมตีอย่างรวดเร็วจำนวนหลายร้อยธุรกรรมภายในเวลาไม่กี่ชั่วโมงนั้นบ่งชี้ถึงทิศทางการโจมตีที่เป็นไปในลักษณะเดียวกัน แต่อย่างไรก็ตามยังไม่พบความเชื่อมโยงอื่น ๆ
“พวกเราจะคอยอัปเดตข้อมูลเมื่อพวกเราได้ข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีนี้” OpenSea CEO กล่าวบน Twitter
ที่มา: theverge