OpenSea teraz preplatila 750 Ethereum, približne $ 1.8 miliónovpoužívateľom, ktorí omylom predali hodnotné NFT za výrazne nižšiu cenu, ako sú bežné trhové sadzby, prostredníctvom zneužitia zahŕňajúceho „neaktívne záznamy. "
V poslednej dobe niekoľko užívateľov popredné NFT› trhovisko sa sťažovalo, že ich modré čipy NFT, ako napríklad tie, ktoré patria do kolekcie Bored Ape Yacht Club (BAYC), boli zakúpené za staré, lacné uvádzacie ceny. Tieto záznamy neboli nikdy zrušené na blockchaine, aj keď používateľské rozhranie na OpenSea naznačovalo, že boli zrušené.
Ako sa to stalo? Technologicky zdatní kupujúci využívajú služby ako Tornado Cash na presun peňazí na adresy krypto peňaženky bez zverejnenia zdroja a tieto prostriedky používajú na nákup NFT za staré kótovacie ceny.
Tento exploit nie je nový. The Ethereum blockchain vyžaduje, aby používatelia platili poplatok za plyn za vykonávanie transakcií, vrátane zrušenia výpisu na OpenSea, ktorého platnosť ešte nevypršala. Ale predtým, ako OpenSea implementovala voliteľné dátumy vypršania platnosti na zoznamy, mnohí držitelia NFT mali neaktívne záznamy, ktoré nemali dátum vypršania platnosti, a preto vyžadovali manuálne zrušenie prostredníctvom plateného poplatku za plyn. Záznamy s uplynutou platnosťou sú v poriadku, ale neaktívne záznamy predstavujú riziko.
V snahe vyhnúť sa plateniu poplatkov za plyn Ethereum, ktoré sa často môžu pohybovať v stovkách dolárov za jednu transakciu, našli niektorí vlastníci NFT medzeru. Ak preniesli NFT do sekundárnej peňaženky a potom späť do prvej peňaženky, zoznam zmizol v používateľskom rozhraní OpenSea.
Ale v skutočnosti sa zoznam jednoducho zmenil z „aktívneho“ na „neaktívny“. A neaktívne záznamy môžu stále nakupovať odborníci na blockchain, ktorí interagujú priamo so samotnými inteligentnými zmluvami, nie s používateľským rozhraním OpenSea.
V reakcii na to spoločnosť OpenSea spustila funkciu „neaktívne záznamy“ na svojej webovej stránke pre počítače januára 24. Neodpovedali na dešifrovaťpredchádzajúca žiadosť používateľa o komentár.
Niektorým držiteľom BAYC povedal OpenSea začiatkom tohto týždňa, že im bude vrátená časť Etherea za ich stratu. Tballer, ktorý prehral Ape #9991 za 0.77 ETH (asi 1,700 dolárov), povedal dešifrovať 25. januára cítil, že dostal „dosť pomalú odpoveď“ od OpenSea, ale bol „rád, že sa mi vrátili“.
„Komunita [NFT] mi v tom pomohla,“ povedal Tballer dešifrovať. "V tú noc, keď sa to stalo, som bol dosť blízko k tomu, aby som sa vrátil domov a predal všetko."
Zdá sa, že Tballer's Ape teraz patrí Juan Fdez, ktorý kúpil dve opice, ktoré boli neúmyselne predané. Fdez je tiež držiteľom BAYC #8924, ktorý bol vybratý za 6.66 ETH (približne 17,000 XNUMX $). Fdez neodpovedal na dešifrovaťŽiadosť o komentár.
Ak chce Tballer svojho ľudoopa späť, bude musieť zaplatiť 130 ETH (330,000 XNUMX dolárov).
Dňa 26. januára spoločnosť OpenSea rozoslala e-mail vlastníkom NFT s neaktívnymi zoznamami, v ktorých im povedal, aby „naliehavo konali a zrušili všetky neaktívne záznamy“.
Tieto pokyny vyvolali určité obavy, ako tvrdil zberateľ NFT Dingaling v a dlhé twitterové vlákno že e-mail bol „z ich strany neuveriteľne nezodpovedný a robí veci 100x horšími. Vďaka tomu je v skutočnosti oveľa jednoduchšie vykonať exploit.“
1/ UPOZORNENIE: NEZRUŠTE SVÉ ZÁPISY OS, AKO JE UVEDENÉ V E-MAILI, KTORÝ OPENSEA PRÁVE ODOSLALA??
PRED odoslaním späť NAJPRV preneste svoje NFT na inú adresu a zrušte zoznam na pôvodnej adrese
OS vystavil každého ešte väčšiemu riziku ako predtým?
— dingaling (@dingalingts) Januára 27, 2022
Jednoduchým prikázaním používateľom, aby jeden po druhom zrušili neaktívne záznamy na webovej stránke OpenSea, to v skutočnosti umožnilo vykorisťovateľom vykonávať nákupy na iných neaktívnych zoznamoch. Napríklad držiteľ Mutant Ape Yacht Club Swolfchan si nechal svojho ľudoopa vo svojej hlavnej peňaženke a zrušil 15 ETH neaktívny zoznam. Potom plánovali zrušiť zoznam 6 ETH.
Ale medzi tým, čo Swolfchanovi trvalo zrušiť prvý neaktívny zoznam a prejsť na druhý, vykorisťovateľ kúpil ich ľudoopa za cenu 6 ETH.
Dingaling vysvetlil, že ak Swolfchan prenesie opicu do inej peňaženky, potom zruší všetky zoznamy a potom opicu presunie späť do hlavnej peňaženky, boli by v bezpečí. Nezdalo sa však, že by OpenSea tieto pokyny vo svojom prvom e-maile poskytla.
Spoluzakladateľ OpenSea Alex Atallah povedal Dingaling 27. januára, že „vyriešenie tohto problému je našou prioritou číslo 1. Máme tím, ktorý na tom pracuje a teraz pripravuje protiopatrenie."
Pokiaľ ide o to, čo by tieto riešenia mohli byť, CTO Ledger Charles Guillemet má niekoľko nápadov: „Iný dizajn by mohol zabrániť takémuto problému,“ povedal. dešifrovať. Guillemet tvrdí, že používateľské rozhranie na OpenSea malo byť pre používateľov prehľadnejšie. „Prevod NFT by nemal odstrániť príkaz na predaj z používateľského rozhrania,“ povedal.
Zdroj: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit