Nền tảng NFT OpenSea bị tấn công, thiệt hại nghiêm trọng

- Cộng đồng tiền mã hóa sáng ngày 20/02 đang xôn xao trước thông tin nền tảng NFT marketplace OpenSea đang bị tấn công.

Nhiều người dùng OpenSea vào sáng ngày 20/02 đột nhiên phát hiện NFT trong ví đã liên kết đến marketplace này đã bị chuyển ra bên ngoài mà không có sự đồng ý từ chính chủ.

Điểm chung của những người này là trong ít ngày qua đã nhận được một email từ OpenSea, yêu cầu cấp quyền để chuyển NFT sang smart contract mới của nền tảng này, mang tên WyvernExchange.

Tuy nhiên, đây thực chất là một email mạo danh OpenSea, và nút cấp quyền thực tế sẽ cho kẻ tấn công khả năng chuyển NFT ra khỏi ví của nạn nhân.

“Dù chưa được xác nhận, vụ hack OpenSea khả năng cao là tấn công phishing. Người dùng đã cấp quyền chuyển NFT như hướng dẫn của email phishing và lệnh cấp quyền này đã cho phép hacker cướp đi NFT.”

Trang Twitter chính thức của OpenSea mới chỉ đưa ra thông báo như sau:

“Chúng tôi đang điều tra các tin đồn xoay quanh việc OpenSea bị tấn công qua smart contract. Đây có vẻ là một âm mưu tấn công phishing bắt nguồn từ bên ngoài website OpenSea. Đừng nhấn vào bất kỳ liên kết nào khác opensea.io”.

Tính đến thời điểm thực hiện bài viết, kẻ tấn công đang nắm giữ khoảng 641 ETH (trị giá hơn 1,7 triệu USD) cùng một loạt các NFT giá trị khác đang được hắn tìm cách tẩu tán. Vụ tấn công vẫn chưa có dấu hiệu dừng lại khi tiền và NFT tiếp tục được chuyển vào ví hacker, vốn đã bị Etherscan “cắm cờ”.

Mặc dù vậy, nhiều người dùng OpenSea khẳng định họ vẫn bị mất NFT dù không nhấn vào email trên, cũng như có một số thông tin khẳng định rằng email mà kẻ tấn công sử dụng được gửi từ địa chỉ email chính thức của OpenSea. Do đó, vẫn chưa thể nào xác định bản chất của vụ tấn công là như thế nào.

Để tự bảo vệ bản thân, người dùng OpenSea hiện tại được khuyên là nên đăng nhập vào tài khoản, hủy bỏ tất cả các lệnh đang niêm yết và ngắt kết nối ví với OpenSea, hoặc chuyển NFT từ ví liên kết với OpenSea sang một ví khác. Trong quá trình thực hiện, phải luôn đảm bảo kiểm tra liên kết mà người dùng sắp nhấn là đường link chính xác của OpenSea.

Đã xuất hiện nhiều chỉ trích về sự thiếu chủ động từ phía OpenSea trong vụ việc lần này. Ngoài thông báo “đang điều tra” đã được gửi từ cách đây hơn 1 tiếng, marketplace đã không cung cấp thêm bất kỳ thông tin nào để trấn an người dùng hay hướng dẫn họ bảo vệ NFT của mình. Điều này là không thể chấp nhận được cho một công ty được định giá lên đến 13,3 tỷ USD sau vòng gọi vốn mới nhất và là NFT marketplace đầu ngành với khối lượng giao dịch trong tháng 1 lập kỷ lục 4,5 tỷ USD.

Đến tối ngày 20/02, hacker đã bị phát hiện sử dụng máy trộn Tornado Cash để rửa đến 1.100 ETH, trị giá gần 2,9 triệu USD tính theo giá ở thời điểm cập nhật.

Ví của hacker lúc này chỉ còn có 3 ETH và một số NFT có giá trị thấp.

Tuyên bố: Nội dung bài viết này không thể hiện quan điểm của trang web FTI, nội dung chỉ mang tính chất tham khảo không mang tính chất tư vấn đầu tư. Đầu tư là rủi ro, hãy lựa chọn cẩn thận! Nếu có bất kỳ vấn đề nào liên quan đến nội dung, bản quyền,… vui lòng liên hệ với chúng tôi và chúng tôi sẽ điều chỉnh trong thời gian sớm nhất!