В одному зі старих смарт-контрактів OpenSea виявили критичну вразливість

• Pocket Universe попереджає користувачів про нову загрозу
• В одному зі старих смарт-контрактів OpenSea є вразливість
• Вона дає змогу хакеру підмінити адресу користувача для відкликання NFT на свою

Сьогодні, 28 жовтня, команда Pocket Universe опублікувала попередження користувачам NFT-маркетплейса OpenSea. Експерти виявили вразливість в одному зі старих смарт-контрактів, через який хакер може викрасти будь-який токен, розміщений на майданчику до травня цього року

Pocket Universe зазначають, що експлойт пофіксили під час переходу на протокол Seaport. Нагадаємо, ми детально висвітлювали це оновлення в окремому матеріалі.

Однак усі NFT, які були розміщені на майданчику до 22 травня (23 відбулося оновлення), так само перебувають у зоні ризику. У своїй публікації експерти послалися на одного з потерпілих, який втратив нехай і невелику, але все ж таки цінну для нього колекцію.

Як це працює?

OpenSea використовує протокол Wyvern для зіставлення замовлень. Хлопці з Developer DAO детально розібралися в тому, як функціонує цей механізм на майданчику.

Зазначимо, що під час лістингу токенів формувався проксі-контракт із правом їхнього відкликання. При цьому користувач сам надавав дозвіл на цю операцію

Через експлойт хакер підміняв адресу на повернення NFT. Таким чином під час лістингу користувач давав дозвіл на відкликання саме зломщику. Процес виглядає як звичайний мінт і не викликає підозр.

Як можна себе убезпечити?

Насамперед потрібно уважно перевірити всі транзакції. Далі експерти рекомендують відкликати будь-які дозволи за старими контрактами через сервіс Revoke.cash. Таким чином скамер не зможе відкликати токени користувача на свій рахунок.

Pocket Universe не беруться прогнозувати, чи багато було постраждалих від цього експлойта. Але з урахуванням того, що раніше він не висвітлювався, цифра може бути значною.