Изглежда, че измамниците се възползват от грешка в OpenSea, за да закупят ценни NFT на значително по-ниска цена от текущата им обява.
Няколко изследователи и разработчици описват подробно текущия проблем, като някои твърдят, че конкретни NFT на стойност стотици хиляди долари са били откраднати чрез използване на грешката на платформата.
OpenSea Bug отваря платформа за хакване
Според докладите, грешка в предния край на известния пазар на незаменими токени (NFT) OpenSea е довела до експлойт, който позволява на потребителите да придобиват популярни NFT на тяхната предишна цена.
Изглежда проблемът е преобладаващ при колекционерските предмети на Bored Ape Yacht Club (BAYC) и Mutant Ape Yacht Club (MAYC) NFT, където експлоататорът е могъл да ги закупи за първоначалната им цена и впоследствие да ги продаде за текущата пазарна цена. BAYC #9991, BAYC #8924 и MAYC #4986 са сред засегнатите NFT.
Хакът беше разкрит, след като колекционерът на NFT „TBALLER” туитира, че техният рядък Bored Ape #9991 е продаден за безценна сума от 77 ETH, или $1,775 рано сутринта в понеделник.
Ооо момчета! Идк какво се случи току-що защо моята маймуна току-що продаде за .77?????
— TBALLER.eth (@T_BALLER6) Януари 24, 2022
Купувачът, който се нарича „jpegdegenlove“, обърна маймуната NFT почти веднага за 84.2 ETH, или приблизително 200,000 332 долара. Потребителят е успял да обърне около 754,000ETH ($XNUMX XNUMX).
Съобщава се за баланс на портфейла на Ether, използващ етер, Източник: Etherscan
PekShieldAlert – ботът за предупреждения в реално време на популярната фирма за сигурност PeckShield – предупреди за грешка в предния край на OpenSea по-рано днес, отбелязвайки, че експлоатираният вече е получил 332 ETH на стойност около 750 XNUMX долара по това време.
Оказва се, че @opensea има проблем с предния край и експлоататорът е спечелил около 332 Ether https://t.co/35kCB1n7nv
—PeckShieldAlert (@PeckShieldAlert) Януари 24, 2022
Според фирмата за анализ на криптовалута Elliptic, в leaOpenSeast трима нападатели са закупили NFT с обща пазарна стойност малко повече от 1 милион долара, използвайки слабостта от понеделник сутринта. „Използвайки този недостатък, един нападател днес плати общо 133,000 934,000 долара за седем NFT – преди бързо да ги продаде за XNUMX XNUMX долара“, пише в блога на фирмата.
В Twitter нишка, Ротем Якир, разработчик в бизнеса за децентрализирани пари Orbs.com, обясни уязвимостта. Според Якир, хората, които повторно изброиха своите NFT, без да ги анулират и след това ги продадоха на по-висока цена, биха могли да ги купят на по-ниска цена чрез грешката.
По-рано днес изследователят по сигурността Тал Беери потвърди откритието на Elliptic и Yakir от показване на данни от блокчейна на Ethereum, потвърждаващ, че Bored Ape Yacht Club #8274 е закупен през юли за $50,500 (22.9 ETH) и препродаден за около $296,000. (130 ETH).
Свързана статия | Какво се обърка при хака на Crypto.com (CRO)? Експерти преценяват
Този експлойт не е нов
По-ранен експлойт на 31 декември беше свидетел на подобен сценарий, при който изглежда, че проблемът идва от прехвърлянето на активи от портфейла на OpenSea в отделен портфейл, без листването да бъде отменено.
Според един потребител, ако някой, използващ OpenSea, пусне NFT за продажба и по-късно реши, че не иска тази реклама да остане активна, платформата ще таксува за премахването му. Това обаче може да бъде скъпо, затова потребителите измислиха заобиколно решение, при което прехвърлиха NFT в друг портфейл, като по този начин анулираха списъка.
1/ Наскоро имаше @opensea експлойт, който позволи закупуването на активи на много намалени цени, включително 3 пропуска за свежи капки, BAYC https://t.co/8pEgeXkOBo, множество MAYC и др. Тази сутрин направих някои изследвания и ето какво се случва -> a ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) Декември 31, 2021
OpenSea не разгледа проблема, когато беше докладван.
Свързана статия | BitMart оставя потребителите да четат, тъй като жертви на хак чакат възстановяване на средства
Потребителите могат да видят дали тяхната обява е премахната от Rarible, друг NFT пазар, който използва API на OpenSea. Според потребителя дефектът е докладван след събитието през декември, но не са предприети действия за отстраняването му.
ETH/USD се движи над $2,400. Източник: TradingView
Струва си да се отбележи, че този проблем възникна в резултат на планирания дизайн на OpenSea, централизирана услуга, която използва децентрализирани монети. Трудно е да се класифицира това като хак или дори грешка. OpenSea информира потребителите, че по този начин работи неговата услуга, което е довело до множество измами. Грешката в OpenSea показва, че това е небрежен пазар и ако потребителите не са внимателни да следват правилните практики, те могат да бъдат използвани от по-съобразени потребители.
Понастоящем не е ясно дали грешката в OpenSea се третира като открит пропуск в сигурността или резултат от потребителска грешка.
Представено изображение от Unsplash, диаграма от TradingView.com и Etherscan
Източник: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/