Схоже, шахраї користуються помилкою OpenSea, щоб придбати цінні NFT за значно дешевшою ціною, ніж їхній поточний список.
Декілька дослідників і розробників детально описали поточну проблему, причому деякі стверджували, що конкретні NFT вартістю сотень тисяч доларів були вкрадені шляхом використання помилки платформи.
OpenSea Bug відкриває платформу для злому
Згідно з повідомленнями, збій у передньому плані відкритого ринку незамінних маркерів (NFT) OpenSea призвів до експлойту, який дозволяє користувачам придбати популярні NFT за попередньою ціною.
Схоже, ця проблема поширена з предметами колекціонування Bored Ape Yacht Club (BAYC) і Mutant Ape Yacht Club (MAYC) NFT, де експлуататор міг придбати їх за початковою ціною, а потім продати їх за поточною ринковою ціною. BAYC № 9991, BAYC № 8924 і MAYC № 4986 є серед постраждалих NFT.
Хак був виявлений після того, як колекціонер NFT «TBALLER» написав у Твіттері, що їх рідкісний Bored Ape #9991 продали за мізерні 77 ETH, або 1,775 доларів США рано вранці в понеділок.
Оооо, хлопці! Idk, що щойно сталося, чому моя мавпа щойно продала за .77?????
— TBALLER.eth (@T_BALLER6) Січень 24, 2022
Покупець, якого називають «jpegdegenlove», майже відразу ж перекинув мавпу NFT за 84.2 ETH, або приблизно 200,000 332 доларів. Користувач зміг перевернути близько 754,000ETH ($XNUMX XNUMX).
Повідомлений експлуататор балансу гаманця Ether Джерело: Etherscan
PekShieldAlert — бот популярної охоронної фірми PeckShield, який сповіщає в режимі реального часу — попередив про недолік інтерфейсу OpenSea раніше сьогодні, зазначивши, що експлуатований уже отримав 332 ETH на суму близько 750 тисяч доларів на той момент.
Схоже, що @opensea має проблему з інтерфейсом, і експлуататор отримав близько 332 Ether https://t.co/35kCB1n7nv
—PeckShieldAlert (@PeckShieldAlert) Січень 24, 2022
За даними компанії з аналізу криптовалют Elliptic, у leaOpenSeast три зловмисники придбали NFT на загальну ринкову вартість трохи більше 1 мільйона доларів, використовуючи слабкість з ранку понеділка. «Використовуючи цю помилку, один зловмисник сьогодні заплатив загальну суму 133,000 934,000 доларів США за сім NFT, перш ніж швидко продати їх за XNUMX XNUMX доларів», – йдеться у блозі фірми.
В Потік Twitter, Ротем Якір, розробник децентралізованого грошового бізнесу Orbs.com, пояснив уразливість. За словами Якіра, люди, які повторно перерахували свої NFT, не скасувавши їх, а потім продали їх за вищою ціною, могли придбати їх за дешевшою ціною через збій.
Раніше сьогодні дослідник безпеки Тал Б'єрі підтвердив відкриття Еліптика та Якира, відображення даних з блокчейну Ethereum, який підтверджує, що Bored Ape Yacht Club #8274 було придбано в липні за 50,500 22.9 доларів (296,000 ETH) і перепродано приблизно за 130 XNUMX доларів. (XNUMX ETH).
Пов'язана стаття | Що пішло не так під час злому Crypto.com (CRO)? Експерти зважують
Цей експлойт не новий
Попередній експлойт 31 грудня став свідком подібного сценарію, коли проблема виникла через перенесення активів з гаманця OpenSea в окремий гаманець без скасування лістингу.
За словами одного користувача, якщо хтось, який використовує OpenSea, виставив NFT на продаж, а пізніше вирішив, що не хоче, щоб ця реклама залишалася активною, платформа стягуватиме плату за її видалення. Однак це може бути дорогим, тому користувачі розробили обхідний шлях, коли вони перенесли NFT в інший гаманець, тим самим скасувавши список.
1/ Нещодавно з'явився @opensea експлойт, який дозволив купувати активи за дуже зниженими цінами, включаючи 3 пропуски на Freshdrops, BAYC https://t.co/8pEgeXkOBo, кілька MAYC тощо. Сьогодні вранці я провів деякі дослідження, і ось що відбувається -> a ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) 31 Грудня, 2021
OpenSea не вирішував проблему, коли про неї повідомлялося.
Пов'язана стаття | BitMart не читає користувачів, оскільки жертви злому очікують повернення коштів
Користувачі можуть побачити, чи було видалено їхній список із Rarible, іншого ринку NFT, який використовує API OpenSea. За словами користувача, про помилку повідомили після грудневої події, але жодних заходів для її усунення не було вжито.
ETH/USD коливається вище 2,400 доларів. Джерело: TradingView
Варто зазначити, що ця проблема виникла в результаті задуманого дизайну OpenSea, централізованого сервісу, який використовує децентралізовані монети. Важко класифікувати це як хак чи навіть помилку. OpenSea інформує споживачів, що саме так працює його сервіс, що призвело до численних шахрайств. Помилка OpenSea показує, що це неохайний ринок, і якщо користувачі не дотримуються належних практик, вони можуть бути використані більш кмітливими користувачами.
Наразі неясно, чи розглядається помилка OpenSea як відкритий недолік безпеки чи результат помилки користувача.
Рекомендовані зображення з Unsplash, діаграми з TradingView.com і Etherscan
Джерело: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/