OpenSea kullanıcılarını hedefleyen 1.7 milyon dolarlık NFT saldırısı

google news abone ol

Geçtiğimiz cumartesi günü, siber korsanlar OpenSea kullanıcılarından yüzlerce NFT çaldı ve bu durum sitenin geniş kullanıcı kitlesinde paniğe neden oldu.

Blockchain güvenlik hizmeti PeckShield tarafından derlenen bir e-tablo, saldırı sırasında Decentraland ve Bored Ape Yacht Club’dan tokenlar da dahil olmak üzere, çalınan 254 token olduğunu dile getirdi. Saldırıların büyük kısmı, toplamda 32 kullanıcıyı hedef aldı ve cumartesiyi pazara bağlayan gece TSİ 01.00 ile 04.00 arasında gerçekleşti. Web3 is Going Great adlı blogu yöneten Molly White, çalınan token’ların değerinin 1,7 milyon dolardan fazla olduğunu tahmin ediyor.

Saldırı, OpenSea’de yapılanlar da dahil olmak üzere çoğu NFT akıllı sözleşmesinin altında yatan açık kaynak standardı olan Wyvern Protokolü‘ndeki bir esneklikten yararlanmış gibi görünüyor. Twitter’da CEO Devin Finzer tarafından bağlantılı olarak yapılan bir açıklamada saldırıyı iki bölümde tanımlandı: İlk olarak, hedeflenen hesaplar genel bir yetkilendirme ile kısmi bir sözleşme imzaladı ve büyük bölümler boş bırakıldı. İmza var durumdayken, saldırganlar, NFT’lerin sahipliğini ödeme yapmadan devreden, kendi sözleşmelerine yapılan bir çağrıyla sözleşmeyi tamamladılar. Özünde, saldırının hedefleri boş bir çek imzalamıştı ve bunlar, imzalandıktan sonra, saldırganlar onların elindekileri almak için çekin geri kalanını doldurdu.

Neso’yu bir kullanan kullanıcı, “Her işlemi kontrol ettim” dedi. “NFT’lerini kaybeden insanların hepsinden geçerli imzaları var, bu nedenle kimlik avına uğramadıklarını ancak NFT’leri kaybettiğini iddia eden herkes ne yazık ki yanılıyor.”

Yakın tarihli bir finansman turunda 13 milyar dolar değerleme alan OpenSea, NFT patlamasının en değerli şirketlerinden biri haline geldi. Bu site, kullanıcıların doğrudan blok zinciri ile etkileşime girmeden belirteçleri listelemesi, göz atması ve teklif vermesi için basit bir arayüz sağladı. Şirket, kullanıcıların değerli varlıklarını çalmak için eski sözleşmelerden veya sahte token’lardan yararlanan saldırılarla mücadele ettiğinden, bu başarı önemli güvenlik sorunlarıyla birlikte geldi.

OpenSea, saldırı gerçekleştiği zamanlarda sözleşme sistemini güncelleme sürecindeydi, ancak şirket, saldırının yeni sözleşme sisteminden kaynaklanmadığını söyledi. Nispeten az sayıda hedef, böyle bir güvenlik açığını olası kılmaz, çünkü daha geniş platformdaki herhangi bir kusurdan çok daha büyük bir ölçekte yararlanılabilir.

Yine de, saldırının birçok ayrıntısı belirsizliğini koruyor. Özellikle saldırganların, yarısı boş olan sözleşmeyi imzalatmak amacıyla hedefleri yakalamak için kullandıkları yöntem bilinmiyor. OpenSea CEO’su Devin Finzer,  saldırıların OpenSea’nin web sitesinden, çeşitli listeleme sistemlerinden veya şirketten gelen herhangi bir e-postadan kaynaklanmadığını söyledi. Saldırının sadece birkaç saat içinde yüzlerce işlemle gerçekleşen hızı, bazı ortak saldırı vektörlerini akla getiriyor, ancak şu ana kadar hiçbir bağlantı keşfedilmedi.

Finzer Twitter’da “Oltalama saldırısının tam doğası hakkında daha fazla bilgi edindikçe sizi güncel tutacağız.” dedi. “Yararlı olabilecek özel bilgileriniz varsa lütfen @opensea_support. adresine direkt mesaj gönderin.” şeklinde bir mesaj da paylaştı.

Kaliteli ve bilgilendirici teknoloji videoları için Teknoblog YouTube kanalına abone olun

BUNLAR DA İLGİNİZİ ÇEKEBİLİR

Ikea Matter destekli ilk akıllı ev merkezini ve yenilenmiş Ikea Home’u tanıttı

Ikea, akıllı evlere yönelik en son hamlesinin duyurusunu yaptı. Yenilenmiş bir Ikea Home akıllı uygulamasına ek olarak, Dirigera adlı Matter sistemiyle kullanıma hazır bir...

Cep telefonu, bilgisayar ve tabletlerde TRT bandrol ücretinde artış

Türkiye Radyo Televizyon Kurumu (TRT) gelirleri içinde elektrik faturalarından alınan payın önemli bir yeri vardı. Geçtiğimiz aylarda, artan elektrik fatura bedellerindeki yükü hafifletmek adına...

Taşınabilir eğlence cihazı önerileri – Video

Mayıs ayının sonlarına yaklaşıyoruz, havalar ısınıyor ve yaz geliyor. Dışarıda daha fazla zaman geçireceğiz ve bu zamanı daha da keyifli ve eğlenceli hâle getirmek...

Huawei’den MateView SE ve yeni MateBook dizüstü bilgisayarlar

Huawei bu hafta başında, tüketiciler için yüksek performanslı işlem gücüne sahip yeni MateBook 16s büyük ekranlı dizüstü bilgisayarı Çin'de duyurdu. Bu dizüstü bilgisayar metal...

Birleştirilmiş OneNote uygulaması için testler başladı, işte başlıca yenilikler

Microsoft, OneNote uygulaması için gelecek yeni tasarımı test etmeye başladı. Yazılım üreticisi, görsel güncellemenin ilk işaretlerini geçen yıl vermişti ve OneNote ile Windows 10...

e-SIM destekli Apple Watch modelleri Türkiye’de satışa sunuluyor, fiyatlar belli oldu

Apple Watch e-SIM modelleri uzun bir bekleyişin ardından Türkiye'de satışa sunuluyor. Apple Online Store'daki Apple Watch sayfasının üst kısmında "GPS+Cellular modeller yakında sizinle" şeklinde...

AirPods Pro 2’yi bekleyenler için iyi haber

AirPods Pro 2 kablosuz kulaklık Apple'ın 2022'de tanıtması beklenen ürünler arasında yer alıyor. Ünlü analist Ming-Chi Kuo'ya göre, Çin'deki üretim süreçlerini etkileyen tedarik zinciri...

Instagram Sans yazı tipi ile birlikte büyük yenileme hareketini başlattı

Instagram bu haftanın hemen başında büyük bir marka yenileme çalışması başlattığını duyurdu. "Marka yenileme", çoğunlukla bazı pazarlama materyallerini güncellemek ve logolar hakkında büyük, ağdalı...

Microsoft Build 2022 etkinliğinden önemli duyurular

Microsoft geleneksel Build etkinliğinin açılışını salı akşamı gerçekleştirdi. Geliştiricilere odaklı bir etkinlik olan Build 2022 kapsamında başta Windows işletim sistemi olmak üzere, Microsoft'un yazılım...