OpenSea zwróciło obecnie 750 Ethereum, ok $ 1.8 mlnużytkownikom, którzy przypadkowo sprzedali wartościowe transakcje NFT po kursie znacznie niższym od aktualnego kursu rynkowego w drodze exploita obejmującego „aukcje nieaktywne".
Ostatnio kilku użytkowników wiodących NFT› rynek skarżył się, że ich blue chipy NFT, takie jak te należące do kolekcji Bored Ape Yacht Club (BAYC), zostały zakupione po starych, niskich cenach katalogowych. Aukcje te nigdy nie zostały anulowane na blockchainie, mimo że interfejs użytkownika OpenSea sugerował, że tak się stało.
Jak to się stało? Kupujący znający się na technologii korzystają z usług takich jak Tornado Cash, aby przesyłać pieniądze na adresy portfeli kryptowalutowych bez ujawniania źródła i wykorzystywania tych środków do zakupu NFT po starych cenach giełdowych.
Ten exploit nie jest nowy. The Ethereum Blockchain wymaga od użytkowników uiszczenia opłaty za gaz w celu wykonania transakcji, w tym anulowania wpisu na OpenSea, który jeszcze nie wygasł. Jednak zanim OpenSea wprowadziło wybieralne daty wygaśnięcia ofert, wielu posiadaczy NFT miało nieaktywne oferty, które nie miały daty ważności i dlatego wymagały ręcznego anulowania poprzez uiszczoną opłatę za gaz. Wygasłe oferty są w porządku, ale nieaktywne oferty stanowią ryzyko.
Aby uniknąć płacenia opłat za gaz Ethereum, które często mogą sięgać setek dolarów za pojedynczą transakcję, niektórzy właściciele NFT znaleźli lukę w prawie. Jeśli przenieśli NFT do drugiego portfela, a następnie z powrotem do pierwszego portfela, wpis zniknął z interfejsu użytkownika OpenSea.
Ale w rzeczywistości wpis po prostu zmienił się z „aktywnego” na „nieaktywny”. Nieaktywne oferty nadal mogą kupować eksperci blockchain, którzy bezpośrednio wchodzą w interakcję z samymi inteligentnymi kontraktami, a nie z interfejsem użytkownika OpenSea.
W odpowiedzi firma OpenSea wprowadziła funkcję „nieaktywnych list” w swojej witrynie na komputery stacjonarne Styczeń 24. Nie zareagowali Odszyfrujpoprzednią prośbę o komentarz.
Na początku tego tygodnia OpenSea poinformowało niektórych posiadaczy BAYC, że otrzymają zwrot części Ethereum za poniesione straty. Tballer, który stracił Ape #9991 za 0.77 ETH (około 1,700 dolarów), powiedział Odszyfruj 25 stycznia stwierdził, że otrzymał „raczej powolną odpowiedź” od OpenSea, ale „był szczęśliwy, że się do mnie odezwali”.
„Społeczność [NFT] pomogła mi przez to przejść” – powiedział Tballer Odszyfruj. „W noc, kiedy to się stało, byłem prawie bliski powrotu do domu i sprzedania wszystkiego”.
Wydaje się, że Małpa Tballera należy teraz do Juana Fdeza, którzy kupili dwie małpy, które zostały przypadkowo sprzedane. Fdez posiada również BAYC #8924, który został przeciągnięty za 6.66 ETH (około 17,000 XNUMX dolarów). Fdez nie odpowiedział Odszyfrujprośba o komentarz.
Jeśli Tballer chce odzyskać swoją małpę, będzie musiał zapłacić 130 ETH (330,000 XNUMX dolarów).
26 stycznia OpenSea wysłało e-mail do właścicieli NFT z nieaktywnymi ofertami, prosząc ich, aby „pilnie podjęli działania w celu anulowania wszelkich nieaktywnych ofert”.
Instrukcje te wzbudziły pewne obawy, jak twierdził kolekcjoner NFT Dingaling w: długi wątek na Twitterze że e-mail był „niezwykle nieodpowiedzialny z ich strony i pogorszył sytuację 100 razy”. To faktycznie sprawia, że exploit jest znacznie łatwiejszy do wykonania.”
1/ OSTRZEŻENIE: NIE NALEŻY ANULOWAĆ SWOICH AUKCJI SYSTEMU, JAK WSKAZANO W E-MAILU WYSŁANEGO PRZEZ OPENSEA?
NAJPIERW przenieś swoje NFT na inny adres i anuluj aukcje na pierwotnym adresie PRZED odesłaniem
OS po prostu naraża wszystkich na jeszcze większe ryzyko niż wcześniej?
— dingaling (@dingalingts) 27 stycznia 2022 r.
Po prostu każąc użytkownikom anulować jedną po drugiej nieaktywne oferty w witrynie OpenSea, w rzeczywistości umożliwiło to exploiterom dokonywanie zakupów na innych nieaktywnych ofertach. Na przykład posiadacz Mutant Ape Yacht Club Swolfchan trzymał swojego Ape w swoim głównym portfelu i anulował nieaktywną aukcję o wartości 15 ETH. Następnie planowali anulować notowanie 6 ETH.
Jednak pomiędzy czasem, w którym Swolfchan anulował pierwszą nieaktywną aukcję i przeszedł na drugą, exploiter kupił ich Ape za cenę 6 ETH.
Dingaling wyjaśnił, że gdyby Swolfchan przeniósł małpę do innego portfela, następnie anulował wszystkie aukcje, a następnie przeniósł małpę z powrotem do głównego portfela, byliby bezpieczni. Jednak wydaje się, że OpenSea nie przekazało tych instrukcji w swoim pierwszym e-mailu.
Współzałożyciel OpenSea Alex Atalah powiedział Dingaling 27 stycznia, że „naprawienie tego problemu jest priorytetem naszej firmy nr 1. Mamy zespół, który nad tym pracuje i teraz wprowadza środki zaradcze.
Jeśli chodzi o to, jakie mogłyby to być rozwiązania, dyrektor ds. technicznych Ledger, Charles Guillemet, ma kilka pomysłów: „Inny projekt pozwoliłby uniknąć takiego problemu” – powiedział Odszyfruj. Guillemet twierdzi, że interfejs użytkownika OpenSea powinien być bardziej przejrzysty dla użytkowników. „Przeniesienie NFT nie powinno usuwać zlecenia sprzedaży z interfejsu użytkownika” – stwierdził.
Źródło: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit