해커들은 높은 가치를 훔쳤습니다. 대체 할 수없는 토큰 (NFT) 오픈시에서. 해커들은 피싱 공격을 시작하여 Opensea에서 새로운 스마트 계약으로의 업그레이드를 악용한 것으로 보입니다.
Opensea는 며칠 전에 사용자에게 목록을 마이그레이션하도록 요청하는 업그레이드를 발표했습니다. '1주일 후인 2월 25일 금요일 오후 XNUMX시(동부 표준시 기준)에 이전하지 않은 모든 목록이 만료됩니다. 마이그레이션 기간을 놓치면 추가 비용(가스 요금 포함) 없이 만료된 목록을 다시 나열할 수 있습니다.'
짧은 통지로 인해 해커는 NFT 마켓플레이스의 모든 사용자에게 이메일을 통해 전송된 업그레이드 알림을 악용할 수 있었습니다.
출처 : 트위터
Opensea 오래된 목록 수정
업그레이드는 오래된 목록으로 인해 발생하는 오래된 문제를 해결하기 위한 것입니다. 거래자가 해외 판매용 NFT를 등록하는 경우 등록을 위해 가스 수수료가 필요합니다.
거래자가 1 ETH에 NFT를 등록하고 가스 수수료를 지불한 시나리오를 가정해 보겠습니다. 거래자가 2 ETH로 NFT를 재상장하기를 원하는 경우, opensea는 추가 가스 수수료 없이 NFT를 재상장할 수 있도록 허용합니다.
그러나 이전 상장(1ETH)은 실제로 취소되는 경우는 없습니다. 이전 목록을 취소하려면 목록별로 가스 요금이 필요합니다. Opendea는 가스비를 지불하지 않고 재상장을 허용하므로, 현재 $50,000가 넘는 NFT가 20년 전에 $20에 판매 목록에 등록된 경우 $XNUMX 목록은 여전히 존재합니다.
또 다른 우려는 목록이 취소되면 다음에서 악용될 수 있다는 것입니다. blockchain 프론트런으로. NFT 소유자가 이전 목록을 수동으로 취소하면 봇을 통해 블록에서 악용될 수 있습니다.
취소가 블록에 있지만 아직 확인되지 않은 경우 동일한 블록에서 판매를 실행하여 활용할 수 있습니다. 예를 들어, 현재 $50,000 가치의 NFT가 $10에 상장되었고 소유자가 상장을 취소한 경우, 블록에서 확인되기 전에 해커는 확인되기 전에 동일한 블록에서 $10의 판매를 실행할 수 있습니다('선행'). .
Opensea의 업그레이드는 오래된 목록이 만료되도록 하여 이러한 문제를 해결하기 위한 것입니다. 그러나 짧은 통지로 인해 해커는 다음을 사용했습니다. 피싱 NFT를 악의적으로 획득하기 위한 공격입니다.
오픈시 해킹
이메일은 새로운 스마트 계약으로의 마이그레이션을 발표했습니다. 사용자는 '시작하기'를 클릭하여 NFT 계정을 유출한 해커에게 권한을 부여했습니다.
출처 : 에테르 스캔
수십 명의 NFT 보유자가 피싱 공격에 피해를 입었습니다. 돌연변이 원숭이 요트 클럽 NFT, 지루한 원숭이(BAYC) 및 Azuki는 현재 해커가 소유한 NFT 중 일부에 불과합니다.
마지막으로 1277 ETH(약 $100)에 판매된 BoredApeYachClub #290,000은 피싱 공격으로 도난당한 NFT 중 하나입니다.
Opensea는 다음과 같은 성명을 발표했습니다. '우리는 OpenSea 관련 스마트 계약과 관련된 익스플로잇 소문을 적극적으로 조사하고 있습니다. 이는 OpenSea 웹사이트 외부에서 시작된 피싱 공격인 것 같습니다.'
이러한 성명과 뉴스 유포에도 불구하고 NFT는 이 글을 쓰는 시점에도 여전히 악성 주소로 전송되고 있습니다. 도난당한 NFT의 가치는 1.6만 달러 이상으로 추산됩니다.
해커들은 높은 가치를 훔쳤습니다. 대체 할 수없는 토큰 (NFT) 오픈시에서. 해커들은 피싱 공격을 시작하여 Opensea에서 새로운 스마트 계약으로의 업그레이드를 악용한 것으로 보입니다.
Opensea는 며칠 전에 사용자에게 목록을 마이그레이션하도록 요청하는 업그레이드를 발표했습니다. '1주일 후인 2월 25일 금요일 오후 XNUMX시(동부 표준시 기준)에 이전하지 않은 모든 목록이 만료됩니다. 마이그레이션 기간을 놓치면 추가 비용(가스 요금 포함) 없이 만료된 목록을 다시 나열할 수 있습니다.'
짧은 통지로 인해 해커는 NFT 마켓플레이스의 모든 사용자에게 이메일을 통해 전송된 업그레이드 알림을 악용할 수 있었습니다.
출처 : 트위터
Opensea 오래된 목록 수정
업그레이드는 오래된 목록으로 인해 발생하는 오래된 문제를 해결하기 위한 것입니다. 거래자가 해외 판매용 NFT를 등록하는 경우 등록을 위해 가스 수수료가 필요합니다.
거래자가 1 ETH에 NFT를 등록하고 가스 수수료를 지불한 시나리오를 가정해 보겠습니다. 거래자가 2 ETH로 NFT를 재상장하기를 원하는 경우, opensea는 추가 가스 수수료 없이 NFT를 재상장할 수 있도록 허용합니다.
그러나 이전 상장(1ETH)은 실제로 취소되는 경우는 없습니다. 이전 목록을 취소하려면 목록별로 가스 요금이 필요합니다. Opendea는 가스비를 지불하지 않고 재상장을 허용하므로, 현재 $50,000가 넘는 NFT가 20년 전에 $20에 판매 목록에 등록된 경우 $XNUMX 목록은 여전히 존재합니다.
또 다른 우려는 목록이 취소되면 다음에서 악용될 수 있다는 것입니다. blockchain 프론트런으로. NFT 소유자가 이전 목록을 수동으로 취소하면 봇을 통해 블록에서 악용될 수 있습니다.
취소가 블록에 있지만 아직 확인되지 않은 경우 동일한 블록에서 판매를 실행하여 활용할 수 있습니다. 예를 들어, 현재 $50,000 가치의 NFT가 $10에 상장되었고 소유자가 상장을 취소한 경우, 블록에서 확인되기 전에 해커는 확인되기 전에 동일한 블록에서 $10의 판매를 실행할 수 있습니다('선행'). .
Opensea의 업그레이드는 오래된 목록이 만료되도록 하여 이러한 문제를 해결하기 위한 것입니다. 그러나 짧은 통지로 인해 해커는 다음을 사용했습니다. 피싱 NFT를 악의적으로 획득하기 위한 공격입니다.
오픈시 해킹
이메일은 새로운 스마트 계약으로의 마이그레이션을 발표했습니다. 사용자는 '시작하기'를 클릭하여 NFT 계정을 유출한 해커에게 권한을 부여했습니다.
출처 : 에테르 스캔
수십 명의 NFT 보유자가 피싱 공격에 피해를 입었습니다. 돌연변이 원숭이 요트 클럽 NFT, 지루한 원숭이(BAYC) 및 Azuki는 현재 해커가 소유한 NFT 중 일부에 불과합니다.
마지막으로 1277 ETH(약 $100)에 판매된 BoredApeYachClub #290,000은 피싱 공격으로 도난당한 NFT 중 하나입니다.
Opensea는 다음과 같은 성명을 발표했습니다. '우리는 OpenSea 관련 스마트 계약과 관련된 익스플로잇 소문을 적극적으로 조사하고 있습니다. 이는 OpenSea 웹사이트 외부에서 시작된 피싱 공격인 것 같습니다.'
이러한 성명과 뉴스 유포에도 불구하고 NFT는 이 글을 쓰는 시점에도 여전히 악성 주소로 전송되고 있습니다. 도난당한 NFT의 가치는 1.6만 달러 이상으로 추산됩니다.