OpenSea Bug води до огромна загуба на NFT

Хакерите използваха съществуваща грешка в платформата OpenSea, за да закупят множество NFT на стойност над милион долара при драстични шестцифрени отстъпки. 

Elliptic отчита загуба на NFT на OpenSea

NFT в множество портфейли бяха насочени към хака, където нападателите успяха да ги купят на по-рано посочени цени, без да предупреждават собствениците. OpenSea все още не е направила коментар или съобщение относно атаката, която за първи път беше забелязана и докладвана от компанията за анализ на блокчейн Elliptic. 

Според главния учен и съосновател на Elliptic, Том Робинсън

„Изглежда, че експлойтът идва от факта, че преди беше възможно повторното изписване на NFT на нова цена, без да се отменя предишната регистрация. Тези стари обяви сега се използват за закупуване на NFT на цени, посочени в миналото – често доста под текущите пазарни цени.

Експлоатиран бъг за извличане на NFT

Един от NFT, откраднати чрез използване на този бъг, е Bored Ape #9991 от популярната колекция Bored Ape Yacht Club. NFT беше закупен за 0.77 ETH (около $1747), драстично ниска цена за Bored Ape NFT, обикновено продавана за стотици хиляди долари. Въпреки това, собственикът по време на продажбата не е знаел, че NFT е бил регистриран за такава ниска сума. Скоро след това същият NFT беше продаден за 84.2 ETH (приблизително $189,040), което представлява значителна печалба от над $187,000. 

Главният изпълнителен директор Робинсън посочи общо осем NFT, които са били откраднати по този начин. Първоначалните портфейли бяха различни, докато общите портфейли на атакуващите бяха само три. Друг портфейл на атакуващия успя да придобие седем NFT за $133,000 23, докато трети придоби друг Bored Ape NFT за мизерните XNUMX ETH. 

Как се създава тази грешка? 

В нишка в Twitter разработчикът на софтуер Ротем Якир обобщи как грешката е създадена от несъответствие между информацията, налична в интелигентните договори на NFT, и информацията, представена от потребителския интерфейс на OpenSea. В крайна сметка, грешката позволява на нападателите да имат достъп до стари договорни цени, които все още съществуват в блокчейна, но са блокирани от изглед в приложението OpenSea. Потенциалните купувачи на OpenSea правят оферта по видимата „каталожна цена“, определена от собственика на NFT. След като купувачът приеме каталожната цена, собствеността върху NFT автоматично се прехвърля върху него. 

Грешката се създава, когато собствениците искат да преизброят своите NFT на по-висока цена, но не искат да плащат таксите за газ, за ​​да анулират първата регистрация. Затова вместо това те прехвърлят NFT в друг портфейл и след това обратно в оригиналния портфейл. Правейки това премахва списъка от предния край на OpenSea. Въпреки това, оригиналният списък остава активен в блокчейна и може да бъде намерен чрез OpenSea API. 

Интересно е да се отбележи, че този бъг беше открит още през декември 2021 г. Освен това, дори през януари 2022 г., нишка в Twitter освети принудителната продажба на NFT с този метод. По това време обаче OpenSea не предприе превантивни действия.

Отказ от отговорност: Тази статия е предоставена само с информационна цел. Той не се предлага или е предназначен да се използва като правен, данъчен, инвестиционен, финансов или друг съвет.