Trong tweet của mình, CEO của OpenSea Devin Finzer cho biết: “Chúng tôi không tin rằng vụ tấn công này có liên quan đến trang web của OpenSea. Có vẻ như đến thời điểm này 32 người dùng đã click vào link chứa mã độc được hacker gửi, dẫn đến việc một số NFT của họ bị lấy trộm.” Tuy nhiên, một số NFT bị trộm cũng đã được trả lại.
Ông Devin Finzer cũng đã bác bỏ nhiều tin đồn trước đó trên mạng xã hội rằng hacker đã lấy trộm lượng tài sản trị giá 200 triệu USD từ OpenSea. Theo ông Finzer, hacker thực hiện vụ tấn công này “có lượng tiền mã hóa ETH trị giá 1,7 triệu USD trong ví từ việc bán đi một số NFT lấy trộm”.
Vụ tấn công này có vẻ như đã khai thác lỗ hổng trong giao thức Wyvern - tiêu chuẩn mã nguồn mở đứng sau phần lớn các "hợp đồng thông minh" dùng cho NFT, bao gồm NFT được tạo ra trên OpenSea.
Theo tài khoản @Nesotual trên Twitter giải thích và được CEO Devin Finzer đồng thuận, hacker lừa người dùng điền vào một hợp đồng ghi sẵn ủy quyền chung, sau đó hacker hoàn thiện hợp đồng này và chuyển quyền sở hữu NFT đến địa chỉ của mình mà không thanh toán. Do đó, các lệnh chuyển NFT này về mặt kỹ thuật là hoàn toàn hợp lệ.
Theo thống kê của công ty bảo mật blockchain và phân tích dữ liệu PeckShield, hacker đã dùng dịch vụ trộn tiền Tornado Cash để "rửa" 1100 ETH.
Các dịch vụ trộn tiền cho phép người dùng kết hợp tiền mã hóa phi pháp với tiền mã hóa “sạch”, khiến lượng tài sản bị đánh cắp khó bị điều tra ra hơn.
PV/ Theo CNBC/The Verge
