Το Σάββατο, οι επιτιθέμενοι έκλεψαν εκατοντάδες NFT από χρήστες του OpenSea, προκαλώντας πανικό αργά τη νύχτα στην ευρεία βάση χρηστών του ιστότοπου. Ένα υπολογιστικό φύλλο που συντάχθηκε από την υπηρεσία ασφάλειας blockchain PeckShield μέτρησε 254 tokens που κλάπηκαν κατά τη διάρκεια της επίθεσης, συμπεριλαμβανομένων μάρκες από Decentraland και Bored Ape Yacht Club. Η Molly White, που διευθύνει το blog Web3 is Going Great, υπολόγισε την αξία των κλεμμένων tokens σε περισσότερα από 1,7 εκατομμύρια δολάρια.
Η επίθεση φαίνεται να εκμεταλλεύτηκε μια ευελιξία στο Πρωτόκολλο Wyvern, το πρότυπο ανοιχτού κώδικα που διέπει τα περισσότερα έξυπνα συμβόλαια NFT, συμπεριλαμβανομένων αυτών που γίνονται στο OpenSea. Οι στόχοι μεταβίβασαν ένα μερικό συμβόλαιο, με μια γενική υπογεγραμμένη εξουσιοδότηση και μεγάλα τμήματα έμειναν κενά. Με την υπογραφή, οι επιτιθέμενοι ολοκλήρωσαν τη σύμβαση με μια κλήση στο δικό τους συμβόλαιο, το οποίο μεταβίβασε την ιδιοκτησία των NFT χωρίς πληρωμή. Η επίθεση είχε υπογράψει μια λευκή επιταγή — και μόλις υπογραφόταν, οι εισβολείς συμπλήρωσαν την υπόλοιπη επιταγή για να πάρουν τα αποθέματα τους.
Το OpenSea βρισκόταν στη διαδικασία ενημέρωσης του συστήματος συμβολαίου του όταν έλαβε χώρα η επίθεση, αλλά το OpenSea αρνήθηκε ότι η επίθεση προήλθε από τα νέα συμβόλαια. Ο σχετικά μικρός αριθμός στόχων καθιστά απίθανη μια τέτοια ευπάθεια, καθώς είναι πιθανό να υπάρχει κάποιο ελάττωμα στην ευρύτερη πλατφόρμα.
