Trong tweet của mình, CEO của OpenSea Devin Finzer cho biết: “Chúng tôi không tin rằng [vụ tấn công] này có liên quan đến trang web của OpenSea. Có vẻ như đến thời điểm này 32 người dùng đã click vào link chứa mã độc được hacker gửi, dẫn đến việc một số NFT của họ bị lấy trộm.” Tuy nhiên, một số NFT bị trộm cũng đã được trả lại.
Ông Devin Finzer cũng đã bác bỏ nhiều tin đồn trước đó trên mạng xã hội rằng hacker đã lấy trộm lượng tài sản trị giá 200 triệu USD từ OpenSea. Theo ông Finzer, hacker thực hiện vụ tấn công này “có lượng tiền mã hóa ETH trị giá 1,7 triệu USD trong ví từ việc bán đi một số NFT lấy trộm”.
Vụ tấn công này có vẻ như đã khai thác lỗ hổng trong giao thức Wyvern - tiêu chuẩn mã nguồn mở đứng sau phần lớn các "hợp đồng thông minh" dùng cho NFT, bao gồm NFT được tạo ra trên OpenSea.
Theo tài khoản @Nesotual trên Twitter giải thích và được CEO Devin Finzer đồng thuận, hacker lừa người dùng điền vào một hợp đồng ghi sẵn ủy quyền chung, sau đó hacker hoàn thiện hợp đồng này và chuyển quyền sở hữu NFT đến địa chỉ của mình mà không thanh toán. Do đó, các lệnh chuyển NFT này về mặt kỹ thuật là hoàn toàn hợp lệ.
Theo thống kê của công ty bảo mật blockchain và phân tích dữ liệu PeckShield, hacker đã dùng dịch vụ trộn tiền Tornado Cash để "rửa" 1100 ETH.
Các dịch vụ trộn tiền cho phép người dùng kết hợp tiền mã hóa phi pháp với tiền mã hóa “sạch”, khiến lượng tài sản bị đánh cắp khó bị điều tra ra hơn.
NFT (non-fungible token; token không thể thay thế) là một loại tài sản ảo có quyền sở hữu được ghi lại trên blockchain. “Tính duy nhất” của mỗi NFT trên blockchain đã trở thành điểm nhấn được quảng cáo nhiều nhất của loại tài sản này, khiến nó trở thành một cơn sốt đối với những người quan tâm đến blockchain, tiền mã hóa và các công nghệ liên quan trong thời gian gần đây.
Riêng OpenSea đã trở thành nền tảng NFT lớn nhất ở thời điểm hiện tại khi được định giá khoảng 13 tỷ USD trong vòng huy động vốn mới nhất.
Tùng Phong (Theo CNBC/The Verge)