Cuộc tấn công được thực hiện qua việc giả mạo email từ OpenSea gửi đến tài khoản người dùng với yêu cầu cấp quyền để hệ thống chuyển NFT đến hợp đồng thông minh mới, có tên WyvernExchange. 32 nạn nhân cho biết, sau khi thực hiện các thủ tục được yêu cầu, họ đều mất quyền truy cập vào các Non-fungible token giá trị nhất mà mình sở hữu. Trong số 254 NFT bị đánh cắp, có những sản phẩm thuộc bộ sưu tập Azuki và Bored Ape Yacht đang được rao bán với giá cao. Ước tính, tổng thiệt hại lên đến 641 Ethereum, khoảng 1,7 triệu USD.
Theo The Verge, rất có thể những tin tặc đã tận dụng một nội dung về tiêu chuẩn nguồn mở nền tảng cho phần lớn Smart Contract NFT của Nghị định thư Wyvern, cho phép chúng thực hiện chuyển Non-fungible token mà không cần bất cứ ETH nào.
Lĩnh vực tài sản không thể thay thế đang đạt được sự tăng trưởng thần kỳ, thu hút $$10,061,385,218.72 vốn hóa thị trường (11/3/2022) và chưa có dấu hiệu dừng lại. Theo chia sẻ của anh Nguyên Nguyễn - chuyên gia trong lĩnh vực Phát triển phần mềm và Tư vấn Công nghệ: “NFT đang trở thành thị trường đầy tiềm năng cho các nhà đầu tư nhưng đây cũng là đối tượng sẽ bị các nhóm hacker và tội phạm tài chính hướng đến thường xuyên”.
Thực tế, trong mảng Crypto nói chung, đã có nhiều sự kiện tương tự xảy ra với cả những Platform được đánh giá cao như sàn giao dịch Binance vào 7/5/2019, mạng Poly ngày 10/8/2021. Điều này phần nào cho thấy dù Blockchain được xem là công nghệ “bất khả xâm phạm” ở thời điểm hiện tại nhưng không đồng nghĩa các nền tảng hỗ trợ cũng làm được như thế.
Quay trở lại với câu chuyện của OpenSea, ngay sau sự kiện đáng tiếc vào 19/2, Devin Finzer - CEO của OpenSea đã lên tiếng khẳng định: “Chúng tôi tin rằng đây là một cuộc tấn công theo hình thức lừa đảo. Chúng tôi không xác định được địa điểm xảy ra nhưng có thể loại trừ một số điểm nghi ngờ dựa trên cuộc trao đổi với 32 người dùng bị thiệt hại”.
Ông cho biết thêm vụ việc không liên quan đến tính năng hay bất kỳ lỗ hổng công nghệ nào của OpenSea, kể cả email hệ thống vì các nạn nhân không nhận được hoặc click vào liên kết nào đáng ngờ. Nói cách khác, nền tảng NFT số 1 thế giới vẫn đang làm tốt nhiệm vụ bảo mật và an toàn đối với dữ liệu người dùng.
Vụ việc diễn ra đúng vào thời điểm được xem là nhạy cảm với OpenSea, khi chỉ vài ngày trước đó, nền tảng này đã “trình làng” một hợp đồng thông minh mới và yêu cầu khách hàng di chuyển tài sản nắm giữ để hoàn thành cập nhật. Tệ hơn, một số tranh cãi gần đây xoay quanh câu chuyện các NFT giả và thư rác trên nền tảng khiến cộng đồng đứng ngồi không yên. Cuộc tấn công lần này như “giọt nước tràn ly”, khiến người dùng phải đặt ra dấu hỏi lớn về khả năng bảo mật của OpenSea - nền tảng NFT hàng đầu hiện nay cũng như các ứng dụng DApp khác.
Theo lời khuyên của anh Will Trương, chuyên gia công nghệ, Co-founder và CTO của dự án cố vấn tài chính của bePay, nền tảng NFT cho người nổi tiếng toàn cầu: “Trong quá trình sử dụng các công cụ giao dịch Crypto hay NFT, người dùng cần lưu ý bảo mật Private Key và kiểm tra thật kỹ ứng dụng DApp cũng như nền tảng DeFi sẽ tham gia”.
Tính tới nay, vụ việc OpenSea bị hack vẫn đang được điều tra, làm rõ và chưa có kết luận cuối cùng.
