TechFlow 소식, 브라우저 보안 플러그인 Pocket Universe에 따르면 Opensea의 구형 컨트랙트에서 사용자의 NFT를 훔칠 수 있는 새로운 취약점이 발견되었으며, 거래 서명만으로도 지갑을 비울 수 있다. 이는 2022년 5월 이전(Seaport 업그레이드 이전) Opensea에서 등록한 모든 NFT를 탈취할 수 있다.
기존에 Opensea는 Wyvern 프로토콜을 사용해 주문을 매칭했으며, 사용자가 NFT를 상장할 때 대리 계약(Proxy Contract)에 NFT 인출 권한(일반적인 setApprovalForAll 권한)을 부여했다. 따라서 이 대리 계약은 2022년 5월 이전에 사용자가 등록한 NFT를 회수할 수 있는 권한을 갖는다. 새로운 취약점 악용 방식은 사용자가 거래를 서명하도록 유도하여 공격자에게 사용자의 대리 계약 소유권을 넘겨주게 하고, 그 결과 공격자는 사용자의 NFT를 인출할 수 있게 된다.출처 링크



