TechFlowの情報によると、ブラウザセキュリティプラグイン「Pocket Universe」が、Openseaの旧規約においてNFTを盗み取るための新たな脆弱性を発見した。この脆弱性により、ユーザーがトランザクションに署名するだけでウォレット内の資産をすべて奪われる可能性がある。2022年5月以前(Seaportアップグレード前)にOpenseaで出品されたすべてのNFTが影響を受ける。
Openseaは以前、Wyvernプロトコルを使用して注文のマッチングを行っていた。ユーザーがNFTを出品する際に、エージェントコントラクトにNFTの引き出し許可(通常のsetApprovalForAll権限)を与えていたため、このエージェントコントラクトには2022年5月以前に出品されたNFTを撤去する権限が与えられていた。今回の新たな攻撃手法では、ユーザーを騙してトランザクションに署名させ、攻撃者がユーザーのエージェントコントラクトの所有権を取得することで、NFTを不正に引き出すことが可能になる。出典リンク




