Зараз OpenSea відшкодував 750 Ethereum, приблизно $ 1.8 мільйонів, користувачам, які випадково продали цінні NFT за ціною значно нижчою за поточну ринкову ціну через експлойт, який включає «неактивні списки».
Останнім часом кілька користувачів провідних НФТ› Marketplace скаржився на те, що їхні «блакитні фішки» NFT, наприклад ті, що належать до колекції Bored Ape Yacht Club (BAYC), були придбані за старими дешевими цінами. Ці списки ніколи не були скасовані в блокчейні, хоча інтерфейс користувача OpenSea припускав, що вони були скасовані.
Як це сталося? Технічно підковані покупці використовували такі сервіси, як Tornado Cash, щоб спрямовувати гроші на адреси крипто-гаманців, не розкриваючи джерела, і використовували ці кошти для покупки NFT за старими цінами.
Цей експлойт не новий. The Ethereum Блокчейн вимагає від користувачів сплачувати комісію за газ для виконання транзакцій, включаючи скасування лістингу на OpenSea, термін дії якого ще не закінчився. Але до того, як OpenSea запровадив виборні дати закінчення терміну дії для списків, багато власників NFT мали неактивні списки, які не мали терміну дії, і, отже, вимагали скасування вручну через сплачену плату за газ. Прострочені списки – це нормально, але неактивні списки становлять ризик.
Намагаючись уникнути сплати комісії за газ Ethereum, яка часто може досягати сотень доларів за одну транзакцію, деякі власники NFT знайшли лазівку. Якщо вони перенесли NFT у вторинний гаманець, а потім назад у перший гаманець, список зникав в інтерфейсі OpenSea.
Але насправді список просто змінився з «активного» на «неактивний». А неактивні списки все ще можуть бути придбані експертами з блокчейну, які безпосередньо взаємодіють із самими смарт-контрактами, а не з інтерфейсом OpenSea.
У відповідь OpenSea запустила функцію «неактивних списків» на своєму настільному сайті 24 січня. Вони не реагували на Розшифруватипопередній запит на коментар.
Раніше цього тижня OpenSea повідомила деяким власникам BAYC, що їм повернуть частину Ethereum за втрату. Tballer, який втратив Ape #9991 за 0.77 ETH (близько $1,700), розповів Розшифрувати 25 січня він відчув, що отримав «досить повільну відповідь» від OpenSea, але був «щасливий, що вони повернулися до мене».
«Спільнота [NFT] допомогла мені в цьому», — сказав Тбаллер Розшифрувати. «Тієї ночі, коли це сталося, я був дуже близький до того, щоб повернутися додому і продати все».
Тепер, схоже, належить мавпа Тбаллера Хуан Фдез, який придбав двох ненавмисно проданих мавп. Fdez також володіє BAYC № 8924, який було отримано за 6.66 ETH (близько 17,000 XNUMX доларів). Fdez не відповів Розшифруватипрохання про коментар.
Якщо Тбаллер захоче повернути свою мавпу, йому доведеться заплатити 130 ETH (330,000 XNUMX доларів).
26 січня OpenSea розіслав власникам NFT електронного листа з неактивними списками, в яких сказав їм «негайно діяти, щоб скасувати будь-які неактивні списки».
Ці інструкції викликали певні занепокоєння, як стверджував колекціонер NFT Дінгалінг в а довгий твіттер що електронна пошта була «неймовірно безвідповідальною з їхнього боку і робить все в 100 разів гіршим. Це насправді робить експлойт набагато легшим у виконанні».
1/ ПОПЕРЕДЖЕННЯ: НЕ СКАСУВАЙТЕ СПИСК ВАШОЇ ОС, ЯК ЗАЯВЛЕНО В ЕЛЕКТРОННОМУ ПОВІДОМЛЕННІ, ЯКИЙ OPENSEA ЩОЙНО НАДІСЛАВ??
Будь ласка, СПЕРШУ перенесіть свій NFT на іншу адресу та скасуйте оголошення на початковій адресі ПЕРЕЖ, як надіслати його назад
ОС піддає всіх ще більшому ризику, ніж раніше?
— dingaling (@dingalingts) Січень 27, 2022
Просто сказавши користувачам скасувати неактивні списки один за одним на веб-сайті OpenSea, він фактично дозволив експлуататорам здійснювати покупки на інших неактивних списках. Наприклад, власник яхт-клубу Mutant Ape Swolfchan залишив свою Ape у своєму основному гаманці та скасував неактивний листинг на суму 15 ETH. Після цього вони планували скасувати листинг за 6 ETH.
Але між тим часом, коли Swolfchan знадобився, щоб скасувати перший неактивний листинг і перейти до другого, експлуататор придбав їх Ape за ціною 6 ETH.
Дінгалінг пояснив, що якби Swolfchan переніс мавпу в інший гаманець, потім скасував усі списки, а потім переніс мавпу назад до основного гаманця, вони були б у безпеці. Але OpenSea, схоже, не надав цих інструкцій у своєму початковому електронному листі.
Співзасновник OpenSea Алекс Аталла 27 січня сказав Dingaling, що «вирішення цієї проблеми є пріоритетом нашої компанії №1. Зараз у нас є команда, яка працює над цим і вживає контрзаходи».
Щодо цих рішень, головний технічний директор Ledger Чарльз Гілеме має кілька ідей: «Інший дизайн міг би уникнути такої проблеми», — сказав він. Розшифрувати. Guillemet стверджує, що інтерфейс користувача OpenSea мав бути зрозумілішим для користувачів. «Передача NFT не повинна видаляти замовлення на продаж з інтерфейсу користувача», — сказав він.
Джерело: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit