Zdá se, že podvodníci využívají chyby OpenSea k nákupu cenných NFT za výrazně nižší cenu, než je jejich aktuální nabídka.
Několik výzkumníků a vývojářů podrobně popsalo pokračující problém, přičemž někteří tvrdí, že konkrétní NFT v hodnotě stovek tisíc dolarů byly ukradeny zneužitím chyby platformy.
Chyba OpenSea otevírá platformu pro hackování
Podle zpráv vedla chyba v přední části prominentního tržiště s nezaměnitelnými tokeny (NFT) OpenSea k zneužití, které uživatelům umožňuje získat oblíbené NFT za jejich předchozí cenu.
Zdá se, že problém převládá u sběratelských předmětů Bored Ape Yacht Club (BAYC) a Mutant Ape Yacht Club (MAYC) NFT, kde je vykořisťovatel mohl koupit za původní katalogovou cenu a následně je prodat za aktuální tržní cenu. BAYC #9991, BAYC #8924 a MAYC #4986 patří mezi postižené NFT.
Tento hack byl odhalen poté, co sběratel NFT „TBALLER“ tweetoval, že jejich vzácný Bored Ape #9991 se prodal za babku 77 ETH nebo 1,775 XNUMX $ v pondělí brzy ráno.
Jooo lidi! Nevím, co se právě stalo, proč se moje opice právě prodala za 77?????
— TBALLER.eth (@T_BALLER6) Ledna 24, 2022
Kupující, který se nazývá „jpegdegenlove“, otočil opičí NFT téměř okamžitě za 84.2 ETH, tedy zhruba 200,000 332 dolarů. Uživatel byl schopen převrátit o 754,000 ETH (XNUMX XNUMX $).
Nahlášený vykořisťovatel zůstatek na ethernetové peněžence Zdroj: Etherscan
PekShieldAlert – robot pro výstrahy v reálném čase populární bezpečnostní firmy PeckShield – dnes upozornil na chybu front-endu OpenSea a poznamenal, že zneužití v té době již získali 332 ETH v hodnotě kolem 750 XNUMX $.
Zdá se, že @otevřené moře má problém s front-endem a exploiter získal asi 332 Etherhttps://t.co/35kCB1n7nv
—PeckShieldAlert (@PeckShieldAlert) Ledna 24, 2022
Podle společnosti Elliptic zabývající se analýzou kryptoměn tři útočníci na leaOpenSeast zakoupili NFT s celkovou tržní hodnotou mírně vyšší než 1 milion dolarů, přičemž od pondělního rána využili slabosti. "Využitím této chyby dnes jeden útočník zaplatil celkem 133,000 934,000 $ za sedm NFT - předtím, než je rychle prodal za XNUMX XNUMX $," stálo na blogu firmy.
V Twitter podproces, Rotem Yakir, vývojář v decentralizovaném peněžním podniku Orbs.com, vysvětlil zranitelnost. Lidé, kteří znovu zalistovali své NFT, aniž by je zrušili, a poté je prodali za vyšší cenu, je podle Yakira mohli nechat koupit za nižší cenu díky závadě.
Dnes dříve bezpečnostní výzkumník Tal Be'ery potvrdil Elliptic a Yakirův objev zobrazování dat z blockchainu Ethereum potvrzující, že Bored Ape Yacht Club #8274 byl zakoupen v červenci za 50,500 22.9 $ (296,000 ETH) a dále prodán za přibližně 130 XNUMX $. (XNUMX ETH).
Související článek | Co se pokazilo při hacknutí Crypto.com (CRO)? Odborníci váží
Tento Exploit není nový
Dřívější exploit z 31. prosince byl svědkem podobného scénáře, ve kterém se zdálo, že problém pochází z převodu aktiv z peněženky OpenSea do samostatné peněženky, aniž by byl seznam zrušen.
Podle jednoho uživatele, pokud někdo používající OpenSea dal NFT k prodeji a později se rozhodl, že nechce, aby tato reklama zůstala aktivní, platforma by si účtovala její odstranění. To však může být drahé, proto uživatelé vymysleli řešení, kde NFT přenesli do jiné peněženky, čímž zrušili výpis.
1/ Nedávno došlo k @otevřené moře exploit, který umožnil nákup aktiv za výrazně zvýhodněné ceny, včetně 3 freshdrops passů, BAYC https://t.co/8pEgeXkOBo, více MAYC a dalších. Dnes ráno jsem provedl nějaký průzkum a tady je to, co se děje -> a ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) 31. prosince 2021
OpenSea problém neřešila, když byl nahlášen.
Související článek | BitMart nechává uživatele ve čtení, protože oběti hackingu čekají na vrácení peněz
Uživatelé mohou vidět, zda byl jejich záznam odstraněn z Rarible, dalšího NFT trhu, který využívá OpenSea API. Podle uživatele byla chyba hlášena po prosincové události, ale nebyla přijata žádná opatření k jejímu vyřešení.
ETH/USD se pohybuje nad 2,400 XNUMX USD. Zdroj: TradingView
Stojí za zmínku, že tento problém vznikl v důsledku zamýšleného návrhu OpenSea, centralizované služby, která používá decentralizované mince. Je těžké to klasifikovat jako hack nebo dokonce chybu. OpenSea informuje spotřebitele, že takto funguje její služba, což vedlo k četným podvodům. Chyba OpenSea ukazuje, že se jedná o nedbalý trh, a pokud uživatelé nebudou opatrní při dodržování správných postupů, mohou je důvtipnější uživatelé zneužít.
V současné době není jasné, zda je chyba OpenSea považována za otevřenou bezpečnostní chybu nebo důsledek chyby uživatele.
Doporučený obrázek z Unsplash, graf z TradingView.com a Etherscan
Zdroj: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/