Khai thác Zero-day OpenSea: Rủi ro nghiêm trọng

Một tác nhân đe dọa được cho là đang rao bán một chuỗi khai thác zero-day nghiêm trọng, được tuyên bố nhắm mục tiêu vào nền tảng OpenSea với giá 100.000 USD bằng Bitcoin hoặc Monero. Thông tin rao bán khẳng định rằng lỗ hổng này vẫn chưa được vá và công bố, gây ra lo ngại đáng kể trong cộng đồng NFT.

Phân Tích Khai Thác Zero-Day OpenSea Seaport

Chuỗi khai thác zero-day này được cho là nhắm vào các lỗ hổng trong logic xác thực đơn hàng của giao thức Seaport của OpenSea.

Các mạng bị ảnh hưởng bao gồm Ethereum Mainnet, Polygon và Blast.

Lỗ hổng cho phép kẻ tấn công cưỡng bức chuyển các NFT giá trị cao mà không cần thanh toán bất kỳ ETH nào.

Điều này có thể thực hiện được bằng cách vượt qua quy trình phê duyệt niêm yết, hoạt động trên cả các niêm yết đang hoạt động và không hoạt động.

Kỹ thuật tấn công bao gồm signature malleability (linh hoạt chữ ký) và các cuộc tấn công đa bộ sưu tập (cross-collection attacks).

Tác nhân đe dọa tuyên bố cung cấp mã chứng minh khái niệm (proof-of-concept) và bản demo trực tiếp sau khi thanh toán.

Đây được định vị là một chuỗi tấn công hoàn chỉnh, có khả năng rút cạn tài sản ngay lập tức mà không cần tương tác của người dùng.

Nguồn Gốc và Đánh Giá Ban Đầu về Lỗ Hổng Zero-day

Thông tin về việc rao bán ban đầu được phát hiện bởi Dark Web Informer trên các diễn đàn hacker ngầm.

Tại đây, tác nhân đe dọa quảng cáo đây là một khai thác zero-day mới, chưa từng có khai thác công khai nào được quan sát trước đó.

Tính đến ngày 14 tháng 02 năm 2026, chưa có vụ trộm NFT nào khớp với mô tả này được ghi nhận trên chuỗi khối.

OpenSea cũng chưa đưa ra bất kỳ tuyên bố hay bản vá nào liên quan đến vấn đề này.

Tuy nhiên, một số nhà phân tích bày tỏ sự hoài nghi về tính xác thực của việc rao bán này.

Việc bán khai thác zero-day với giá 100.000 USD được xem là bất thường.

Bởi lẽ, nếu khai thác thành công, kẻ tấn công có thể thu về hàng triệu USD từ các NFT có giá trị cao như Bored Ape Yacht Club.

Điều này có thể gợi ý rằng đây là một vụ lừa đảo hoặc một tuyên bố cường điệu.

Rủi Ro Bảo Mật và Biện Pháp Phòng Ngừa

Mặc dù lỗ hổng zero-day này chưa được xác minh chính thức, nó làm nổi bật các rủi ro bảo mật hiện hữu trên các nền tảng DeFi NFT.

Trong quá khứ, OpenSea từng phải đối mặt với các lỗi tương tự, chẳng hạn như các lỗ hổng niêm yết vào năm 2022.

Các lỗ hổng đó đã bị khai thác để đánh cắp khoảng 1 triệu USD giá trị NFT và sau đó đã được vá kịp thời.

Để giảm thiểu các rủi ro bảo mật tiềm tàng, chủ sở hữu NFT được khuyến nghị thực hiện các biện pháp phòng ngừa ngay lập tức.

Cụ thể, người dùng nên thu hồi tất cả các phê duyệt (approvals) của OpenSea bằng các công cụ đáng tin cậy.

Một trong số đó là Revoke.cash, giúp ngăn chặn các giao dịch chuyển nhượng trái phép.

Ngoài ra, cần theo dõi chặt chẽ các niêm yết để phát hiện bất kỳ dấu hiệu bất thường nào.

Quan trọng hơn, người dùng nên tránh tương tác với các hợp đồng đáng ngờ trên các chuỗi bị ảnh hưởng.

Sự cố này một lần nữa nhấn mạnh tầm quan trọng của việc cảnh giác cao độ trong bối cảnh các khai thác zero-day nhắm mục tiêu vào NFT đang gia tăng.

Cộng đồng bảo mật mạng luôn thúc giục người dùng duy trì cảnh giác trước các mối đe dọa mới.

Thông tin chi tiết hơn về giao thức Seaport có thể tìm thấy tại blog chính thức của OpenSea.

Người dùng OpenSea đại diện cho một nhóm mục tiêu giá trị cao đối với các tác nhân đe dọa, với việc áp dụng rộng rãi giao thức Seaport càng làm tăng cường tác động tiềm tàng của bất kỳ khai thác zero-day nào.