OpenSea nyní proplatila 750 Ethereum, přibližně 1.8 milionu $uživatelům, kteří omylem prodali hodnotné NFT za výrazně nižší než běžnou tržní cenu prostřednictvím zneužití zahrnujícího „neaktivní výpisy. "
V poslední době několik uživatelů předních NFT› tržiště si stěžovalo, že jejich blue chip NFT, jako jsou ty, které patří do kolekce Bored Ape Yacht Club (BAYC), byly zakoupeny za staré levné katalogové ceny. Tyto výpisy nebyly na blockchainu nikdy zrušeny, i když uživatelské rozhraní na OpenSea naznačovalo, že tomu tak bylo.
Jak se to stalo? Technologicky zdatní kupující používali služby jako Tornado Cash k přesunu peněz na adresy kryptopeněženek, aniž by odhalili zdroj a použili tyto prostředky k nákupu NFT za staré kotační ceny.
Tento exploit není nový. The Ethereum blockchain vyžaduje, aby uživatelé platili poplatek za plyn za provádění transakcí, včetně zrušení zápisu na OpenSea, který ještě nevypršel. Ale předtím, než OpenSea implementovala volitelná data vypršení platnosti na seznamy, mnoho držitelů NFT mělo neaktivní záznamy, které neměly žádné datum vypršení platnosti, a proto vyžadovali ruční zrušení prostřednictvím placeného poplatku za plyn. Záznamy s prošlou platností jsou v pořádku, ale neaktivní záznamy představují riziko.
Ve snaze vyhnout se placení poplatků za plyn Ethereum, které se často mohou vyšplhat až na stovky dolarů za jednu transakci, našli někteří majitelé NFT mezeru. Pokud přenesli NFT do sekundární peněženky a poté zpět do první peněženky, výpis v uživatelském rozhraní OpenSea zmizel.
Ale ve skutečnosti se výpis jednoduše změnil z „aktivního“ na „neaktivní“. A neaktivní výpisy mohou stále nakupovat odborníci na blockchain, kteří interagují přímo se samotnými smart kontrakty, nikoli s uživatelským rozhraním OpenSea.
V reakci na to OpenSea spustila funkci „neaktivních výpisů“ na svém desktopovém webu Leden 24. Nereagovali na Dešifrovatpředchozí žádost uživatele o komentář.
Některým držitelům BAYC bylo oznámeno OpenSea začátkem tohoto týdne, že jim bude vráceno nějaké Ethereum za jejich ztrátu. Tballer, který prohrál Ape #9991 za 0.77 ETH (asi 1,700 $), řekl Dešifrovat 25. ledna měl pocit, že od OpenSea dostal „poněkud pomalou odpověď“, ale byl „rád, že se mi vrátili“.
„Komunita [NFT] mi v tom pomohla,“ řekl Tballer Dešifrovat. "Tu noc, co se to stalo, jsem byl docela blízko k tomu, abych se vrátil domů a všechno prodal."
Nyní se zdá, že Tballer's Ape patří Juan Fdez, který koupil dva opice, které byly nedopatřením prodány. Fdez také drží BAYC #8924, který byl vybrán za 6.66 ETH (asi 17,000 XNUMX $). Fdez neodpověděl Dešifrovatžádost o komentář.
Pokud chce Tballer svého Ape zpět, bude muset zaplatit 130 ETH (330,000 XNUMX $).
26. ledna společnost OpenSea rozeslala e-mail vlastníkům NFT s neaktivními nabídkami, ve kterých jim sdělila, aby „jednali urychleně a zrušili všechny neaktivní nabídky“.
Tyto pokyny vyvolaly určité obavy, jak tvrdil sběratel NFT Dingaling v a dlouhé vlákno Twitteru že ten e-mail byl „z jejich strany neuvěřitelně nezodpovědný a dělá věci 100x horšími. To ve skutečnosti usnadňuje provádění exploitu.“
1/ VAROVÁNÍ: NEZRUŠUJTE SVÉ VÝPISY OS, JAK JE UVEDENO V E-MAILU, KTERÝ OPENSEA PRÁVĚ ODESLALA??
PŘED odesláním zpět prosím NEJPRVE převeďte své NFT na jinou adresu a zrušte zápis/y na původní adrese
OS vystavil každého ještě většímu riziku než dříve?
— dingaling (@dingalingts) Ledna 27, 2022
Tím, že jednoduše řekl uživatelům, aby zrušili neaktivní záznamy jeden po druhém na webu OpenSea, ve skutečnosti umožnil vykořisťovatelům provádět nákupy na jiných neaktivních záznamech. Například držitel Mutant Ape Yacht Club Swolfchan si nechal svého opice ve své hlavní peněžence a zrušil 15 ETH neaktivní výpis. Poté plánovali zrušit seznam 6 ETH.
Ale mezitím, co Swolfchanovi trvalo, než zrušil první neaktivní seznam a přešel na druhý, vykořisťovatel koupil jejich opice za cenu 6 ETH.
Dingaling vysvětlil, že kdyby Swolfchan převedl lidoopa do jiné peněženky, pak zrušil všechny záznamy a pak by přesunul opice zpět do hlavní peněženky, byli by v bezpečí. Nezdálo se však, že by OpenSea ve svém původním e-mailu tyto pokyny poskytla.
Spoluzakladatel OpenSea Alex Atalláh řekl Dingaling 27. ledna, že „oprava tohoto problému je naší prioritou číslo 1. Máme tým, který na tom pracuje a nyní připravuje protiopatření."
Pokud jde o to, jaká by tato řešení mohla být, CTO Ledger Charles Guillemet má několik nápadů: „Jiný design by mohl takovému problému zabránit,“ řekl. Dešifrovat. Guillemet tvrdí, že uživatelské rozhraní na OpenSea mělo být pro uživatele přehlednější. "Převod NFT by neměl odstranit příkaz k prodeji z uživatelského rozhraní," řekl.
Zdroj: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit