Ocak ayının son günlerinde OpenSea'de bulunan bir bug aracılığıyla hackerların 100 binlerce dolar kayıp yaşatan bir saldırı gerçekleştirdiğini sizlere aktarmıştık. Aynı ay içinde OpenSea'deki NFT alım satım hacmi 4.5 milyar dolara ulaşırken, popüler NFT pazar yeri, yeni bir saldırı ile gündeme geldi.
Saldırganlar, OpenSea kullanıcılarından yüzlerce NFT çaldı. OpenSea kullanıcılarını derinden etkileyen bu olayın akabinde Blockchain güvenlik hizmeti sunan PeckShield, yayınladığı bir doküman ile saldırıya açıklık getirmeye çalıştı.
Saldırının detayları
PeckShield'in paylaştıklarına göre saldırı esnasında Decentraland ve Bored Ape Yacth Club NFT'leri dahil olmak üzere 254 token çalındı. Saldırı Türkiye saatiyle gece 1:00 ile sabaha karşı 4:00 arasında gerçekleşti. Saldırganlar toplamda 32 kullanıcıyı hedef aldı.
Web3 konusuna odaklanan blog yazarı Molly White'ın hesaplamalarına göre çalınan tokenlerın değeri 1.7 milyon doların üzerindeydi.
Saldırının Wyvern Protokolü'ndeki bir esneklikten yararlandığından şüpheleniliyor. Bu noktada Wyvern Protokolü'nün pek çok NFT akıllı sözleşmesinin temelinde yatan açık kaynaklı bir standart olduğunu belirtelim. Wyvern Protokolü, OpenSea'de üretilen sözleşmelerde de yer alıyor.
Saldırganların hedefinde olan kullanıcılar, OpenSea'den gelen bir maile tıkladıklarını düşündü, ancak aslında saldırganları yetkilendirmiş oldu.
Though unconfirmed, the @opensea hack is most likely phishing. Users authorize the "migration" as instructed in the phishing email and the authorization unfortunately allows the hacker to steal the valuable NFTs... pic.twitter.com/Fj5d9ImC2r
— PeckShield Inc. (@peckshield) February 20, 2022
OpenSea kurucusundan açıklama
OpenSea'nin kurucu ortağı ve CEO'su Devin Finzer, yaptığı açıklamada; saldırının iki aşamada gerçekleştirdiğini belirtti. İlk aşamada hedef alınan kişiler, genel bir yetkilendirme ile büyük bölümlerin boş bırakıldığı kısmi bir kontrat (partial contract) imzaladı. İmzanın atılmasıyla, saldırganlar kontratın boş kısımlarını tamamlayarak kendi kontratlarına çağrıda bulundu. Saldırganlar, kontratta yaptıkları bu değişiklikle NFT'lerin sahipliğinin ödeme alınmadan devredilmesini sağladı.
Seen confusion about the OS thing so.
Attacker had people sign half of a valid wyvern order, the order was basically empty except the target (attacker contract) and calldata, attacker signs other half of order.— Neso (@Nesotual) February 20, 2022
Bu arada saldırganların 30 gün önce yayına aldıkları bir kontrattan faydalanarak, 4 yıl önce yayına alınmış OS kontrata çağırda bulunduğunu belirtelim.
Bu olaya geleneksel tabirlerle bakacak olursak, NFT sahiplerinin boş bir çek imzaladığını söyleyebiliriz. Çeke atılan imzanın akabinde saldırganlar, çeki diledikleri gibi doldurdu. Bu konuda kullanılabilecek bir diğer benzetme ise "boş bir kağıda imza atmak" olabilir.
NFT'lere yatırım yapan bir Solidity geliştiricisi; paylaştığı bir tweet ile OS'in yeni V2 dağıtımıyla tek ilişkisinin, bu listeleme tarzındaki kimlik avlarının süresinin altı gün içinde sona ermesi olduğunu söyledi. @0xfoobar kullanıcı adlı geliştirici: "Bu nedenle hacker, şimdi V1 pazarında listelenen öğeleri çalmak için harekete geçiyor." dedi.
The only relation to OS' new V2 deployment is that these listing phishings will expire in six days, so the hacker is acting now to steal items listed on the V1 marketplace.
How can you protect yourself?https://t.co/4HTCor4msj— foobar (@0xfoobar) February 20, 2022
OpenSea kullanıcıları bu saldırıya karşı ne yapmalı?
@0xfoobar, son bir kaç ay içinde kötü niyetli bir web sitesiyle etkileşime girdiğini düşünen kullanıcıların, OpenSea'den gelen tüm onayları iptal etmesi gerektiğini belirtti. Etherscan üzerinden üzerinden onay iptali gerçekleştirebileceğinizi ekleyelim.
Geliştirici, saldırının genele yayılmış bir akıllı sözleşme istismarı olmadığını vurgularken, saldırıyı "gizli bir kimlik avı" olarak tanımladı.
Bu arada saldırının gerçekleştiği sıralarda OpenSea'nin kontratları güncelleme sürecinde olduğunu hatırlatalım. Pek çok kişi için bu durum yeni soru işaretlerine neden oldu. OpenSea, saldırının yeni kontratlardan kaynaklanmadığını açıkladı. OpenSea'nin devasa kullanıcı tabanını düşündüğümüzde, saldırıdan yalnızca 32 kişinin etkilenmesi, OpenSea'nin açıklamasını doğruluyor.
Our leadership, engineering, and security teams are communicating with affected users to gather details. We continue to believe that this is a phishing attack that originated outside of https://t.co/3qvMZjxmDB. ↯
— OpenSea (@opensea) February 20, 2022
Devin Finzer saldırı esnasında attığı tweet ile saldırının OpenSea'nin websitesi, listeleme sistemleri veya şirketten atılan herhangi bir e-posta ile ilişkili olmadığını vurguladı. OpenSea ise Twitter hesabında yaptığı açıklamada bu saldırının OpenSea platformundan kaynaklanmayan bir "kimlik avı saldırısı" olduğuna inandığını dile getirdi.
LooksRare saldırıları fırsata çeviriyor
Opensea users welcome to #looksrare $LOOKS #OpenSea hack
— LooksRare 👀💎 - NFT Marketplace - (@LooksRaresNFT) February 20, 2022
Bu arada NFT pazar yeri LooksRare, OpenSea'deki saldırıları fırsata çevirmeye çalışıyor. OpenSea kullanıcılarını LooksRare'e davet eden şirket, LooksRare'in OpenSea'den daha iyi olduğunu belirten bir dizi tweet attı.
Bu esnada LooksRare destekçileri de boş durmadı. OpenSea'deki saldırıların Looks tokenı yukarı yönde etkilediğine dair paylaşımlar yapıldı.
$Looks like there’s only one option. Thanks Opensea pic.twitter.com/JmUTP2OaW8
— ThreadGuy.eth 💫 (@DiscoverXnft) February 20, 2022
Hatırlarsanız, Ocak ayında toplam NFT satış hacmi 15 milyar doları geçerken, 10 milyar dolarlık satış hacmi ile Opensea'yi geride bırakan pazar yeri LooksRare, NFT dünyasının yeni yıldızı olmuştu. OpenSea'de yaşanan saldırıların LooksRare'e gösterilen ilgiyi tetikleyeceğini söyleyebiliriz.
İlk Yorumu yazmak ister misiniz?
Yorum Yazmak için Giriş Yap