В одном из старых смарт-контрактов OpenSea обнаружили критическую уязвимость

Сегодня, 28 октября, команда Pocket Universe опубликовала предупреждение пользователям NFT-маркетплейса OpenSea. Эксперты обнаружили уязвимость в одном из старых смарт-контрактов, через который хакер может похитить любой токен, размещенный на площадке до мая этого года. 

Pocket Universe отмечают, что эксплойт пофиксили при переходе на протокол Seaport. Напомним, мы подробно освещали это обновление в отдельном материале.

Однако все NFT, которые были размещены на площадке до 22 мая (23 произошло обновление), все так же находятся в зоне риска. В своей публикации эксперты сослались на одного из потерпевших, который потерял пусть и небольшую, но все же ценную для него коллекцию.

Как это работает? 

OpenSea использует протокол Wyvern для сопоставления заказов. Ребята из Developer DAO подробно разобрались в том, как функционирует этот механизм на площадке.

Отметим, что при листинге токенов формировался прокси-контракт с правом их отзыва. При этом пользователь сам предоставлял разрешение на эту операцию. 

Через эксплойт хакер подменял адрес на возврат NFT. Таким образом при листинге пользователь давал разрешение на отзыв именно взломщику. Процесс выглядит как обычный минт и не вызывает подозрений.

Как можно себя обезопасить?

В первую очередь нужно внимательно проверить все транзакции. Далее эксперты рекомендуют отозвать любые разрешения по старым контрактам через сервис Revoke.cash. Таким образом скамер не сможет отозвать токены пользователя на свой счет.

Pocket Universe не берутся прогнозировать, много ли было пострадавших от этого эксплойта. Но с учетом того, что ранее он не освещался, цифра может быть значительной.