Chyba OpenSea vede k masivní ztrátě NFT

Hackeři využili existující chybu v platformě OpenSea k nákupu několika NFT v hodnotě přes milion dolarů s drastickými šestimístnými slevami. 

Elliptic hlásí ztrátu NFT na OpenSea

NFT přes více peněženek byly cílem hacku, kde je útočníci mohli koupit za dříve uvedené ceny, aniž by upozornili vlastníky. Společnost OpenSea zatím nekomentovala nebo neoznámila útok, kterého si poprvé všimla a ohlásila společnost Elliptic, která se zabývá analýzou blockchainu. 

Podle hlavního vědce a spoluzakladatele společnosti Elliptic Toma Robinsona

„Zdá se, že zneužití pochází ze skutečnosti, že dříve bylo možné znovu zalistovat NFT za novou cenu, aniž by bylo zrušeno předchozí zařazení. Tyto staré nabídky se nyní používají k nákupu NFT za ceny specifikované v minulosti – často hluboko pod aktuálními tržními cenami.“

Chyba zneužitá k získání NFT

Jedním z NFT ukradených zneužitím této chyby byl Bored Ape #9991 z oblíbené kolekce Bored Ape Yacht Club. NFT byl koupen za 0.77 ETH (kolem 1747 $), což je drasticky nízká cena za Bored Ape NFT, obvykle se prodává za stovky tisíc dolarů. Majitel však v době prodeje nevěděl, že NFT byla kotována za tak nízkou částku. Brzy poté byl stejný NFT prodán za 84.2 ETH (cca 189,040 187,000 $), což představuje významný zisk přes XNUMX XNUMX $. 

Generální ředitel Robinson poukázal na celkem osm NFT, které byly odcizeny tímto způsobem. Původní peněženky byly všechny odlišné, zatímco celkové peněženky útočníků byly jen tři. Další peněženka útočníka dokázala získat sedm NFT za 133,000 23 $, zatímco třetí získala další Bored Ape NFT za ubohých XNUMX ETH. 

Jak je tato chyba vytvořena? 

Ve vláknu Twitteru softwarový vývojář Rotem Yakir shrnul, jak byla chyba vytvořena z nesouladu mezi informacemi dostupnými v NFT smart kontraktech a informacemi prezentovanými uživatelským rozhraním OpenSea. Chyba nakonec umožňuje útočníkům přístup ke starým smluvním cenám, které stále existují na blockchainu, ale v aplikaci OpenSea jsou blokovány. Potenciální kupci na OpenSea učiní nabídku na viditelnou „katalogovou cenu“, kterou nastaví vlastník NFT. Jakmile kupující přijme ceníkovou cenu, vlastnictví NFT na něj automaticky přejde. 

Chyba se vytváří, když majitelé chtějí znovu zalistovat své NFT za vyšší cenu, ale nechtějí platit poplatky za plyn za zrušení prvního zařazení. Místo toho tedy přenesou NFT do jiné peněženky a poté zpět do původní peněženky. Tím se odstraní výpis z front-endu OpenSea. Původní výpis však zůstává aktivní na blockchainu a lze jej nalézt prostřednictvím OpenSea API. 

Je zajímavé poznamenat, že tato chyba byla objevena již v prosinci 2021. Navíc ještě v lednu 2022 vlákno na Twitteru osvětlilo nucený prodej NFT touto metodou. Společnost OpenSea však v té době nepodnikla žádné preventivní opatření.

Zřeknutí se odpovědnosti: Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.