Chyba OpenSea vedie k masívnej strate NFT

Hackeri využili existujúcu chybu v platforme OpenSea na nákup viacerých NFT v hodnote viac ako milión dolárov s drastickými šesťcifernými zľavami. 

Elliptic hlási stratu NFT na OpenSea

NFT cez viaceré peňaženky boli zamerané na hack, kde si ich útočníci mohli kúpiť za predtým uvedené ceny bez toho, aby upozornili vlastníkov. OpenSea zatiaľ nekomentovala ani neoznámila útok, ktorý si prvýkrát všimla a nahlásila spoločnosť Elliptic, ktorá sa zaoberá analýzou blockchainu. 

Tvrdí to hlavný vedec a spoluzakladateľ spoločnosti Elliptic Tom Robinson

„Zdá sa, že zneužitie pochádza zo skutočnosti, že predtým bolo možné znova zalistovať NFT za novú cenu bez toho, aby sa zrušil predchádzajúci zoznam. Tieto staré zoznamy sa teraz používajú na nákup NFT za ceny špecifikované v minulosti – často hlboko pod súčasnými trhovými cenami.“

Chyba zneužitá na získanie NFT

Jedným z NFT ukradnutých využitím tejto chyby bol Bored Ape #9991 z populárnej kolekcie Bored Ape Yacht Club. NFT bol kúpený za 0.77 ETH (približne 1747 USD), čo je drasticky nízka cena za Bored Ape NFT, zvyčajne sa predáva za stovky tisíc dolárov. Majiteľ však v čase predaja nevedel, že NFT bola kótovaná za takú nízku sumu. Čoskoro potom sa rovnaký NFT predal za 84.2 ETH (približne 189,040 187,000 USD), čo predstavuje významný zisk vo výške viac ako XNUMX XNUMX USD. 

Generálny riaditeľ Robinson poukázal na celkovo osem NFT, ktoré boli ukradnuté týmto spôsobom. Pôvodné peňaženky boli všetky odlišné, zatiaľ čo celkové peňaženky útočníkov boli len tri. Ďalšia útočníkova peňaženka dokázala získať sedem NFT za 133,000 23 dolárov, zatiaľ čo tretia získala ďalšie Bored Ape NFT za úbohých XNUMX ETH. 

Ako je táto chyba vytvorená? 

Vo vlákne na Twitteri vývojár softvéru Rotem Yakir zhrnul, ako bola chyba vytvorená z nesúladu medzi informáciami dostupnými v NFT smart kontraktoch a informáciami prezentovanými používateľským rozhraním OpenSea. V konečnom dôsledku táto chyba umožňuje útočníkom prístup k starým zmluvným cenám, ktoré stále existujú na blockchaine, ale sú zablokované v aplikácii OpenSea. Potenciálni kupci na OpenSea predkladajú ponuku na viditeľnú „cenníkovú cenu“, ktorú nastavil vlastník NFT. Keď kupujúci prijme cenníkovú cenu, vlastníctvo NFT sa na neho automaticky prevedie. 

Chyba sa vytvára, keď majitelia chcú znova zaradiť svoje NFT do zoznamu za vyššiu cenu, ale nechcú platiť poplatky za plyn, aby zrušili prvý zoznam. Namiesto toho prenesú NFT do inej peňaženky a potom späť do pôvodnej peňaženky. Týmto sa odstráni záznam z front-endu OpenSea. Pôvodný zoznam však zostáva aktívny na blockchaine a možno ho nájsť prostredníctvom OpenSea API. 

Je zaujímavé poznamenať, že táto chyba bola objavená už v decembri 2021. Navyše, dokonca aj v januári 2022 vlákno na Twitteri objasnilo nútený predaj NFT touto metódou. Spoločnosť OpenSea však v tom čase nepodnikla žiadne preventívne opatrenia.

Zrieknutie sa zodpovednosti: Tento článok je poskytovaný iba na informačné účely. Nie je ponúkané ani určené na použitie ako právne, daňové, investičné, finančné alebo iné poradenstvo.