Szombaton több száz NFT-t loptak el az OpenSea felhasználóitól, ami késő este pánikot okozott az oldal széles felhasználói bázisán - a PeckShield blokklánc biztonsági szolgáltatás által összeállított táblázat 254 tokent számolt össze, amelyeket a támadás során elloptak, köztük a Decentraland és a Bored Ape Yacht Club tokenjeit.
Összesen 32 felhasználót céloztak meg. Molly White, aki a Web3 is Going Great blogot vezeti, az ellopott tokenek értékét több mint 1,7 millió dollárra becsülte. A támadás a jelek szerint a Wyvern protokoll, a legtöbb NFT okosszerződés, köztük az OpenSea-n készült okosszerződések alapjául szolgáló nyílt forráskódú szabvány rugalmasságát használta ki.
Az egyik magyarázat (amelyet Devin Finzer vezérigazgató linkelt a Twitteren) két részből álló támadást írt le: először a célpontok egy részleges szerződést írtak alá, amelyben egy általános felhatalmazás és nagy részek üresen maradtak. Az aláírás után a támadók a saját szerződésük hívásával egészítették ki a szerződést, amely fizetés nélkül átruházta az NFT-k tulajdonjogát.
Lényegében a támadás célpontjai egy üres csekket írtak alá - és miután azt aláírták, a támadók kitöltötték a csekk többi részét, hogy elvegyék a tulajdonukat.