TechFlow tin tức, tiện ích mở rộng bảo mật trình duyệt Pocket Universe cho biết đã phát hiện một lỗ hổng mới trên hợp đồng cũ của Opensea, có thể bị lợi dụng để đánh cắp NFT của người dùng. Chỉ cần ký một giao dịch, ví người dùng có nguy cơ bị rút sạch. Lỗ hổng này có thể đánh cắp mọi NFT mà người dùng đã niêm yết trên Opensea trước tháng 5 năm 2022 (tức là trước khi nâng cấp lên Seaport).
Trước đây, Opensea sử dụng giao thức Wyvern để khớp lệnh. Khi người dùng niêm yết NFT, họ cấp quyền rút NFT cho một hợp đồng đại lý (quyền setApprovalForAll thông thường), do đó hợp đồng đại lý này có quyền rút các NFT mà người dùng đã niêm yết trước tháng 5 năm 2022. Lỗ hổng mới này sẽ lừa người dùng ký giao dịch, chuyển quyền sở hữu hợp đồng đại lý cho kẻ tấn công, từ đó cho phép kẻ tấn công rút NFT của người dùng.Xem thêm




