Theo công ty phân tích blockchain Elliptict, ít nhất có tới ba kẻ đã lợi dụng lỗ hổng để khai thác và kiếm được hơn 1 triệu USD vào thứ Hai (24/1). Một trong số chúng đã mua Mutant Ape Yacht Club NFT với giá chỉ 10.600 USD và vài giờ sau bán nó với giá 34.800 USD.
“Khả năng niêm yết lại NFT ở mức giá mới mà không cần hủy niêm yết trước đó chính là kẽ hở khó lường mà hacker đã phát hiện ra”, Elliptic cho biết trong một báo cáo. “
Một hacker dưới tên ‘jpegdegenlove’ đã trả khoảng 133.000 USD cho bảy NFT và rồi niêm yết NFT lên OpenSea với số Ether trị giá 934.000 USD.
Dù sự việc trên mới xảy ra, nhưng trên thực tế, lỗ hổng này đã xuất hiện trong nhiều tuần trước đó và được gắn cờ trong một tweet từ 1/1. Trong vỏn vẹn 8 tiếng mà OpenSea đã bị tấn công tới 8 lần. Theo blockchain Nansen, địa chỉ ví bị cáo buộc đã kiếm được 878.288 USD từ OpenSea.
Jenna Pilgrim, CEO của Blockchain Streambed, lên tiếng chia sẻ với Blockworks
“Việc người dùng có thể mua NFT với giá cũ và bán lại mà không cần bất kỳ hình thức xác minh nào cho thấy vấn đề sâu xa nằm ở chính các NFT. OpenSea đã làm rất tốt trong việc tạo ra một giao diện vững chắc, nhưng bảo mật lại quá kém”.
Theo Elliptic, tài khoản ‘jpegdegenlove’ sau đó đã ‘rủ lòng thương’ và bồi thường cho hai nạn nhân của nó 75.000 USD.
Charles Guillemet, CTO của Ledger, nhấn mạnh rằng hiện tại đang là thời điểm nhạy cảm, người dùng không nên niêm yết NFT lên OpenSea. OpenSea hiện vẫn chưa công khai giải quyết vụ việc này.
Theo: Cointelegraph