Seaport Exploit: расследование взлома OpenSea-ордеров, старых листингов и схем кражи NFT

Представьте: вы не заходили в OpenSea неделю.
Вы не кликаете по подозрительным ссылкам, не участвуете в сомнительных mint’ах и даже храните большинство NFT на холодном кошельке.

Но однажды утром вы видите:

• Mutant Ape — ПРОДАН
• Pudgy Penguin — ПРОДАН
• Azuki — ПРОДАН

И все они были проданы… по минимальной цене, а средства ушли на неизвестные адреса.

Вы не нажимали Sell.
Вы не создавали листинг.
Вы ничего не подписывали.

Звучит невозможно?

Добро пожаловать в мир Seaport Exploit — схемы, в которой хакеры используют особенности торгового протокола OpenSea, чтобы «воскрешать» ваши старые ордера, подменять адреса или создавать сделки, которые обходят вашу волю.

Это одна из самых опасных атак Web3, потому что:

❌ всё выглядит как легальная продажа
❌ транзакции проходят без ошибок
❌ биржа считает всё корректным

И сегодня мы разберём, как работает эта теневая схема.

Краткое описание инцидента

Мы изучаем кейс под названием “GhostListing Exploit” — массовая атака, затронувшая владельцев:

• BAYC
• Mutant Ape
• Azuki
• DeGods
• Pudgy Penguins
• Otherdeed

Потери: ≈ $5.8 млн в NFT за 48 часов.

Способ атаки:

• использование устаревших Seaport-ордеров
• подмена подписи
• exploit старых разрешений (approvals)
• манипуляции fulfillAdvancedOrder()
• скрытые proxy-calls

Удивительно, но ни один смарт-контракт не был «взломан». Взломали — структуру протокола.

Как всё началось — первый шаг преступников

Хакеры начали с тщательной подготовки:

Сканирование старых списков OpenSea

Тысячи пользователей создавали листинги:

• год назад,
• два года назад,
• ещё до миграции на Seaport.

Многие из этих листингов были:

• частично валидными
• без отмены
• с незаблокированными approvals

Хакеры находили именно их.

Поиск кошельков с уязвимостями

Через OSINT они анализировали:

• кто часто использует горячие кошельки
• кто забывает отменять ордера
• кто держит дорогие NFT
• чей approve всё ещё активен

Слабые кошельки — идеальные цели.

Имитация «реальных» ордеров

Хакеры создавали низкоценовые заявки на покупку (bids), которые автоматически удовлетворялись, если старые approvals не были отменены.

Метод известен:
“Fulfill Old Listings Exploit”,
который был использован и в 2022–2023 годах, но в 2025 получил новую форму.

Как схема развивалась — второй шаг: подмена маршрутов Seaport

Seaport — мощный протокол.
Но его гибкость делает его опасным.

Основные уязвимости, которые использовали хакеры:

FulfillBasicOrder() + старый approval

Если approval не был отозван, злоумышленник мог вызвать:

где order = старый листинг пользователя.

Жертва ничего не подписывает.

Partial erc721 fulfill

В некоторых случаях была возможность «возродить» старый листинг, даже если он был изменён или устарел.

Proxy hack

Хакеры использовали цепочку:

где Proxy получал доступ на основании старой подписи владельца.

Order Matching Trick

Хакер создавал «покупку» NFT за минимальную цену (например, 0.5 ETH),
и Seaport выполнял её, если старый ордер подходил под параметры.

Итог:
NFT продаётся автоматически.
Жертва узнаёт об этом, только когда уже поздно.

Лёгкий блокчейн-трейсинг — как утекали NFT

Вот реконструкция атаки “GhostListing Exploit”.

Шаг 1 — NFT «продаётся» автоматически

Адрес жертвы:
0xE21...a3f9

Mutant Ape #11229
Цена: 0.61 ETH (реальная цена: ~17 ETH)

Транзакция:
0x81d...11fc

По данным Etherscan видно:

• вызов: fulfillAdvancedOrder()
• оператор: 0xProxySeaport77
• ордер датируется 2023 годом
• жертва не подписывала новых транзакций

Шаг 2 — NFT уходит в кошелёк хакера

0xProxySeaport77 → 0xGhostBuyer001

Шаг 3 — мгновенная перепродажа

Через 20 секунд:

0xGhostBuyer001 → Blur Listing

Продажная цена: 16.8 ETH.

Шаг 4 — консолидация средств

Через 40 минут:

Blur → 0xDarkCollector77

Шаг 5 — вывод через миксеры

ETH → Tornado Cash
USDT → FixedFloat
часть NFT → private OTC

Кто стоит за схемой — OSINT версии

Версия №1 — группа “Seaport Reapers”

С 2023 года эксплуатируют старые листинги на OpenSea.
Совпадает структура:

• одни и те же прокси
• одинаковые gas-профили
• строгое время исполнения (ночные часы)

Версия №2 — «азиатская дрейн-группа»

Адреса совпадают с drain-атаками в BSC-сети.

Версия №3 — частные “sniper”-боты

На тёмных форумах продаются инструменты, позволяющие:

• находить старые листинги
• выполнять fulfill
• обходить часть проверок Seaport

Цена: $499 – $3 500 за бота.

Психология жертв — почему люди попадаются

1. Люди забывают отменять прошлые листинги

Это главный фактор.

2. Уверенность в OpenSea как «банке NFT»

Ложное чувство безопасности.

3. Незнание, как работает Seaport

95% пользователей не понимают структуру ордеров.

4. Желание удобно торговать

А удобство = компромисс с безопасностью.

5. Отсутствие мониторинга старых approvals

Пользователи не проверяют свои разрешения.

Последствия Seaport Exploit

• Потери: $5.8 млн
• 812 пользователей пострадали
• OpenSea заблокировал 63 адреса
• Blur запретил 11 адресов-покупателей
• часть NFT ушла навсегда
• OpenSea ввёл новые правила проверки ордеров

Это один из крупнейших невидимых NFT-хаков 2025 года.

Как защититься от Seaport Exploit — чеклист

🔥 КРАСНЫЕ ФЛАГИ

• вы ранее создавали листинги, но не отменили их
• вы меняли кошелёк, но старый approval остался
• NFT неожиданно отображается как «listed»
• в истории кошелька появляются странные proxy-вызовы
• OpenSea показывает «unusual activity»

Методы защиты

✔ 1. Отозвать ВСЕ approvals на OpenSea

Проверка:
https://revoke.cash
https://etherscan.io/tokenapprovalchecker

Ищем:

• Seaport
• Conduit
• OpenSea Proxy

✔ 2. Отменить ВСЕ старые листинги

Даже 2–3 годичной давности.

✔ 3. Хранить дорогие NFT на холодном кошельке

Без активных approvals.

✔ 4. Использовать burner-wallet для mint и торговли

✔ 5. Проверять домены OpenSea

Только:
opensea.io

✔ 6. Включить «listing alerts»

Мониторинг листингов спасает от эксплойта.

Вывод — уроки Seaport Exploit

Seaport Exploit — это «молчаливый убийца» NFT.

Он не требует фишинга.
Он не требует drain-контракта.
Он не требует вашей подписи в момент атаки.

Он использует то, что вы подписали в прошлом.

И главный вывод:

В Web3 твои старые разрешения — это будущие уязвимости.

Чистка кошелька должна стать такой же привычкой, как чистка истории браузера.

CTA — следующее расследование уже в работе

Если хочешь продолжение в стиле Netflix Crime:

👉 Approval Fraud — невидимая угроза Web3
👉 Telegram Bot Drainer — атаки через Telegram
👉 Deepfake Scam — использование ИИ в криптомошенничествах
👉 AI-driven Rug Pull 2025

Также могу провести аудит твоих NFT-кошельков на approvals, старые листинги и уровень риска. Подписывайся на мой телеграмм-канал.