OpenSea Bug призводить до масових втрат NFT

Хакери скористалися наявною помилкою на платформі OpenSea, щоб придбати кілька NFT на суму понад мільйон доларів із різкими шестизначними знижками. 

Elliptic повідомляє про втрати NFT на OpenSea

Під час злому зловмисники мали змогу придбати їх за вказаними раніше цінами, не повідомляючи власникам. OpenSea ще не дала коментарів чи заяв щодо атаки, яку вперше помітила та повідомила аналітична компанія Elliptic. 

За словами головного вченого та співзасновника Elliptic Тома Робінсона

«Схоже, що експлойт походить від того факту, що раніше можна було повторно перерахувати NFT за новою ціною, не скасовуючи попередній лістинг. Ці старі списки тепер використовуються для купівлі NFT за цінами, зазначеними в минулому, часто значно нижчими за поточні ринкові ціни».

Використовується помилка для вилучення NFT

Одним із NFT, викрадених за допомогою цієї помилки, був Bored Ape #9991 з популярної колекції Bored Ape Yacht Club. NFT був куплений за 0.77 ETH (близько 1747 доларів), що є надзвичайно низькою ціною для Bored Ape NFT, яка зазвичай продається за сотні тисяч доларів. Однак власник під час продажу не знав, що NFT була внесена в список за таку низьку суму. Незабаром після цього той самий NFT був проданий за 84.2 ETH (приблизно 189,040 187,000 доларів США), що дало значний прибуток понад XNUMX XNUMX доларів США. 

Генеральний директор Робінсон вказав на вісім NFT, які були вкрадені таким чином. Початкові гаманці були різними, тоді як загальних гаманців зловмисників було всього три. Інший гаманець зловмисника зміг придбати сім NFT за 133,000 23 доларів, а третій придбав ще один NFT Bored Ape за мізерні XNUMX ETH. 

Як створюється ця помилка? 

У твіттері розробник програмного забезпечення Ротем Якір підсумував, як помилка була створена через невідповідність між інформацією, доступною в смарт-контрактах NFT, та інформацією, представленою інтерфейсом користувача OpenSea. Зрештою, помилка дозволяє зловмисникам отримати доступ до старих контрактних цін, які все ще існують у блокчейні, але заблоковані для перегляду в додатку OpenSea. Потенційні покупці на OpenSea роблять ставки за видимою «прейскурантною ціною», встановленою власником NFT. Як тільки покупець приймає прейскурантну ціну, право власності на NFT автоматично переходить до нього. 

Помилка виникає, коли власники хочуть перереєструвати свої NFT за вищою ціною, але не хочуть платити за газ, щоб скасувати перший листинг. Тому замість цього вони переносять NFT в інший гаманець, а потім назад у вихідний гаманець. Це видаляє список із інтерфейсу OpenSea. Однак оригінальний список залишається активним у блокчейні і його можна знайти через OpenSea API. 

Цікаво відзначити, що ця помилка була виявлена ​​ще в грудні 2021 року. Більше того, навіть у січні 2022 року твіттер просвітив примусовий продаж NFT за допомогою цього методу. Однак на той час OpenSea не вжила жодних превентивних заходів.

Застереження: Ця стаття надана виключно в ознайомлювальних цілях. Він не пропонується і не призначений для використання як юридична, податкова, інвестиційна, фінансова чи інша порада.