Wygląda na to, że oszuści wykorzystują błąd OpenSea, aby kupić cenne NFT po znacznie niższej cenie niż ich aktualna oferta.
Kilku badaczy i programistów szczegółowo opisało bieżący problem, a niektórzy twierdzą, że w wyniku wykorzystania błędu platformy skradziono określone NFT o wartości setek tysięcy dolarów.
Błąd OpenSea otwiera platformę do hakowania
Według doniesień awaria w interfejsie popularnego rynku tokenów NFT (NFT) OpenSea spowodowała exploita, który umożliwia użytkownikom kupowanie popularnych tokenów NFT po ich wcześniejszej cenie.
Problem wydaje się być powszechny w przypadku przedmiotów kolekcjonerskich NFT Bored Ape Yacht Club (BAYC) i Mutant Ape Yacht Club (MAYC), gdzie eksploatator mógł je kupić za pierwotną cenę katalogową, a następnie sprzedać po aktualnej cenie rynkowej. BAYC #9991, BAYC #8924 i MAYC #4986 należą do dotkniętych NFT.
Włamanie wyszło na jaw po tym, jak kolekcjoner NFT „TBALLER” napisał na Twitterze, że ich rzadka Bored Ape nr 9991 została sprzedana za grosze 77 ETH, czyli 1,775 dolarów wczesnym poniedziałkowym rankiem.
Hej chłopaki! Nie wiem, co się właśnie stało, dlaczego moja małpa sprzedała się za 77?????
— T_BALLER.eth (@T_BALLER6) 24 stycznia 2022 r.
Kupujący, posługujący się pseudonimem „jpegdegenlove”, niemal natychmiast wykonał flipa ape NFT za 84.2 ETH, czyli około 200,000 332 dolarów. Użytkownikowi udało się przerzucić około 754,000ETH (XNUMX XNUMX USD).
Zgłoszony eksploatator Saldo portfela Ether Źródło: Etherscan
PekShieldAlert — bot alertów w czasie rzeczywistym popularnej firmy zajmującej się bezpieczeństwem PeckShield — zaalarmował dziś wcześniej o luce front-end OpenSea, zauważając, że wykorzystany zdobył już wówczas 332 ETH o wartości około 750 tys. dolarów.
Wydaje się, że @otwarte morze ma problem z interfejsem i exploit zyskał około 332 Etherhttps://t.co/35kCB1n7nv
—PeckShieldAlert (@PeckShieldAlert) 24 stycznia 2022 r.
Według firmy Elliptic zajmującej się analizą kryptowalut, w leaOpenSeast trzech napastników zakupiło NFT o łącznej wartości rynkowej nieco ponad 1 milion dolarów, wykorzystując tę słabość od poniedziałkowego poranka. „Wykorzystując tę lukę, jeden z napastników zapłacił dziś łącznie 133,000 934,000 dolarów za siedem NFT, po czym szybko sprzedał je za XNUMX XNUMX dolarów” – czytamy na blogu firmy.
W Wątek na Twitterze, Rotem Yakir, programista w zdecentralizowanej firmie pieniężnej Orbs.com, wyjaśnił tę lukę. Według Yakira osoby, które ponownie wystawiły swoje NFT bez anulowania ich, a następnie sprzedały je po wyższej cenie, mogły w wyniku usterki kupić je po niższej cenie.
Dziś wcześniej badacz bezpieczeństwa Tal Be'ery potwierdził odkrycie Elliptic i Yakir przez wyświetlanie danych z blockchainu Ethereum potwierdzające, że Bored Ape Yacht Club #8274 został zakupiony w lipcu za 50,500 22.9 dolarów (296,000 ETH) i odsprzedany za około 130 XNUMX dolarów. (XNUMX ETH).
Powiązany artykuł | Co poszło nie tak w Crypto.com (CRO) Hack? Eksperci ważą
Ten exploit nie jest nowy
Wcześniejszy exploit z 31 grudnia był świadkiem podobnego scenariusza, w którym problem wydawał się wynikać z przeniesienia aktywów z portfela OpenSea do osobnego portfela bez anulowania aukcji.
Według jednego z użytkowników, jeśli ktoś korzystający z OpenSea wystawi na sprzedaż NFT, a później zdecyduje, że nie chce, aby ta reklama pozostała aktywna, platforma pobierze opłatę za jej usunięcie. Może to jednak być kosztowne, dlatego użytkownicy opracowali obejście polegające na przeniesieniu NFT do innego portfela, anulując w ten sposób aukcję.
1/ Ostatnio pojawiła się @otwarte morze exploit, który umożliwił zakup aktywów po znacznie obniżonych cenach, w tym 3 przepustki Freshdrops, BAYC https://t.co/8pEgeXkOBo, wiele MAYC i nie tylko. Zrobiłem trochę badań dziś rano i oto co się dzieje -> a ??
— cap10bad.ΞTH | Freshdrops.io (@cap10bad) 31 grudnia 2021 r.
OpenSea nie rozwiązało problemu w chwili jego zgłoszenia.
Powiązany artykuł | BitMart pozostawia użytkowników czytających jako ofiary włamań oczekujących na zwrot pieniędzy
Użytkownicy mogą sprawdzić, czy ich wpis został usunięty z Rarible, innego rynku NFT korzystającego z interfejsu API OpenSea. Zdaniem użytkownika usterka została zgłoszona już po grudniowym wystąpieniu, jednak nie podjęto żadnych działań w celu jej usunięcia.
ETH/USD oscyluje powyżej 2,400 dolarów. Źródło: TradingView
Warto zauważyć, że problem ten powstał w wyniku zamierzonego projektu OpenSea, scentralizowanej usługi korzystającej ze zdecentralizowanych monet. Trudno to zaklasyfikować jako hack czy nawet błąd. OpenSea informuje konsumentów, że tak działa jego usługa, co doprowadziło do licznych oszustw. Błąd OpenSea pokazuje, że jest to niechlujny rynek i jeśli użytkownicy nie będą ostrożni w przestrzeganiu odpowiednich praktyk, mogą zostać wykorzystani przez bardziej doświadczonych użytkowników.
Obecnie nie jest jasne, czy błąd OpenSea jest traktowany jako otwarta luka w zabezpieczeniach, czy też wynik błędu użytkownika.
Wyróżniony obraz z Unsplash, wykres z TradingView.com i Etherscan
Źródło: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/