OpenSeaの旧契約で新たな脆弱性が発見され、関連する権限をキャンセルしていないユーザーはNFTが盗まれるリスクが存在します。

ChainCatcher のメッセージによると、ブラウザのセキュリティプラグイン Pocket Universe は、Opensea の旧契約に新たな脆弱性が発見されたと報告しています。この脆弱性は、ユーザーの NFT を盗むために利用される可能性があり、取引が署名されるとウォレットが空にされる恐れがあります。この脆弱性は、2022 年 5 月以前（つまり Seaport アップグレード以前）に Opensea にリストされた任意の NFT を盗むことができます。

Opensea は以前、Wyvern プロトコルを使用して注文をマッチングしており、ユーザーが NFT を上場する際に代理契約に NFT の引き出し権限（通常の setApprovalForAll 権限）を付与していました。そのため、この代理契約は、2022 年 5 月以前にユーザーがリストした NFT を取り消す権限を持っています。新しい脆弱性の利用は、ユーザーに取引に署名させることで、攻撃者がユーザーの代理契約の所有権を持つように仕向け、その結果、ユーザーの NFT を引き出す権限を得ることになります。（出典リンク）