Zdá sa, že podvodníci využívajú chybu OpenSea, aby si kúpili hodnotné NFT za výrazne nižšiu cenu, než je ich aktuálny zoznam.
Niekoľko výskumníkov a vývojárov podrobne opísalo prebiehajúci problém, pričom niektorí tvrdia, že konkrétne NFT v hodnote stoviek tisíc dolárov boli ukradnuté zneužitím chyby platformy.
Chyba OpenSea otvára platformu na hackovanie
Podľa správ mala chyba v prednej časti prominentného trhu s nezameniteľnými tokenmi (NFT) OpenSea za následok zneužitie, ktoré používateľom umožňuje získať populárne NFT za ich predchádzajúcu cenu.
Zdá sa, že problém prevláda so zberateľskými predmetmi NFT Bored Ape Yacht Club (BAYC) a Mutant Ape Yacht Club (MAYC), kde ich vykorisťovateľ mohol kúpiť za pôvodnú uvádzaciu cenu a následne ich predať za aktuálnu trhovú cenu. BAYC #9991, BAYC #8924 a MAYC #4986 patria medzi ovplyvnené NFT.
Tento hack bol odhalený po tom, čo zberateľ NFT „TBALLER“ tweetoval, že ich vzácny Bored Ape #9991 sa predal za babku 77 ETH alebo 1,775 XNUMX $ v pondelok skoro ráno.
Jooo chlapci! Neviem, čo sa práve stalo, prečo sa moja opica predala za 77?????
— TBALLER.eth (@T_BALLER6) Januára 24, 2022
Kupujúci, ktorý hovorí „jpegdegenlove“, prehodil opicu NFT takmer okamžite za 84.2 ETH, teda zhruba 200,000 332 dolárov. Používateľ mohol prehodiť približne 754,000 ETH (XNUMX XNUMX USD).
Nahlásený zneužívateľ Ether wallet balance Zdroj: Etherscan
PekShieldAlert – robot obľúbenej bezpečnostnej firmy PeckShield s upozorneniami v reálnom čase – bol dnes upozornený na chybu front-endu OpenSea, pričom poznamenal, že zneužívaní už v tom čase získali 332 ETH v hodnote približne 750 XNUMX $.
Zdá sa, že @opensea má problém s front-endom a zneužívateľ získal približne 332 éterovhttps://t.co/35kCB1n7nv
—PeckShieldAlert (@PeckShieldAlert) Januára 24, 2022
Podľa spoločnosti Elliptic, ktorá sa zaoberá analýzou kryptomien, na leaOpenSeast traja útočníci nakúpili NFT s celkovou trhovou hodnotou o niečo viac ako 1 milión dolárov, využívajúc slabinu od pondelka rána. „Využitím tejto chyby dnes jeden útočník zaplatil celkom 133,000 934,000 USD za sedem NFT – predtým, ako ich rýchlo predal za XNUMX XNUMX USD,“ píše sa na blogu firmy.
V Twitter vlákno, Rotem Yakir, vývojár v decentralizovanom peňažnom biznise Orbs.com, vysvetlil túto zraniteľnosť. Ľudia, ktorí znova zalistovali svoje NFT bez toho, aby ich zrušili, a potom ich predali za vyššiu cenu, si ich podľa Yakira mohli nechať kúpiť za nižšiu cenu.
Bezpečnostný výskumník Tal Be'ery dnes skôr potvrdil objav Elliptica a Yakira zobrazovanie údajov z blockchainu Ethereum, ktorý potvrdzuje, že Bored Ape Yacht Club #8274 bol zakúpený v júli za 50,500 22.9 USD (296,000 ETH) a ďalej predaný za približne 130 XNUMX USD. (XNUMX ETH).
Súvisiaci článok Čo sa pokazilo pri hackovaní Crypto.com (CRO)? Zvážia odborníci
Tento Exploit nie je nový
Skorší exploit z 31. decembra bol svedkom podobného scenára, v ktorom sa zdalo, že problém pochádza z prevodu aktív z peňaženky OpenSea do samostatnej peňaženky bez toho, aby bol zoznam zrušený.
Podľa jedného používateľa, ak niekto, kto používa OpenSea, dal NFT na predaj a neskôr sa rozhodol, že nechce, aby táto reklama zostala aktívna, platforma si bude účtovať jej odstránenie. To však môže byť drahé, preto používatelia vymysleli riešenie, kde preniesli NFT do inej peňaženky, čím zrušili zoznam.
1/ Nedávno došlo k @opensea exploit, ktorý umožnil nákup aktív za výrazne zľavnené ceny, vrátane 3 čerstvých vstupov, BAYC https://t.co/8pEgeXkOBo, viacerých MAYC a ďalších. Dnes ráno som urobil nejaký prieskum a tu je to, čo sa deje -> a ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) Decembra 31, 2021
OpenSea neriešila problém, keď bol nahlásený.
Súvisiaci článok BitMart necháva používateľov v čítaní, pretože obete hackingu čakajú na vrátenie peňazí
Používatelia môžu vidieť, či bol ich záznam odstránený z Rarible, ďalšieho NFT trhu, ktorý využíva OpenSea API. Podľa používateľa bola chyba nahlásená po decembrovej udalosti, ale neboli prijaté žiadne opatrenia na jej vyriešenie.
ETH/USD sa pohybuje nad 2,400 XNUMX USD. Zdroj: TradingView
Stojí za zmienku, že tento problém vznikol v dôsledku zamýšľaného návrhu OpenSea, centralizovanej služby, ktorá využíva decentralizované mince. Je ťažké to klasifikovať ako hack alebo dokonca chybu. OpenSea informuje spotrebiteľov, že takto funguje jej služba, čo viedlo k mnohým podvodom. Chyba OpenSea ukazuje, že ide o nedbalý trh, a ak používatelia nebudú opatrní pri dodržiavaní správnych postupov, môžu ich zneužiť skúsenejší používatelia.
V súčasnosti nie je jasné, či sa chyba OpenSea považuje za otvorenú bezpečnostnú chybu alebo za následok chyby používateľa.
Odporúčaný obrázok z Unsplash, graf z TradingView.com a Etherscan
Zdroj: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/