TechFlow, un plugin de sécurité pour navigateur, signale qu'une nouvelle vulnérabilité a été découverte dans l'ancien contrat d'Opensea, pouvant être exploitée pour voler les NFT des utilisateurs. Une fois qu'une transaction est signée, le portefeuille peut être vidé. Cette faille permet de dérober tout NFT mis en vente sur Opensea avant mai 2022, c'est-à-dire avant la mise à jour vers Seaport.
Auparavant, Opensea utilisait le protocole Wyvern pour appairer les ordres. Lorsqu'un utilisateur mettait un NFT en vente, il accordait au contrat proxy une autorisation de retrait du NFT (l'autorisation classique setApprovalForAll). Ainsi, ce contrat proxy conserve le droit de retirer les NFT listés par l'utilisateur avant mai 2022. La nouvelle exploitation consiste à inciter l'utilisateur à signer une transaction transférant au pirate la propriété du contrat proxy, lui donnant ainsi le pouvoir de prélever les NFT de l'utilisateur.Source




