Hakkerit käyttivät hyväkseen OpenSea-alustan olemassa olevaa bugia ostaakseen useita NFT:itä yli miljoonan dollarin arvosta jyrkän kuusinumeroisen alennuksella.
Elliptinen ilmoittaa NFT-tappion OpenSeassa
Hakkeroinnin kohteena olivat useiden lompakoiden NFT:t, jolloin hyökkääjät pystyivät ostamaan niitä aiemmin listatuilla hinnoilla antamatta vihjettä omistajille. OpenSea ei ole vielä kommentoinut tai antanut ilmoitusta hyökkäyksestä, jonka ensimmäisenä huomasi ja raportoi blockchain-analytiikkayritys Elliptic.
Ellipticin johtavan tutkijan ja perustajan Tom Robinsonin mukaan
"Hyödyntäminen näyttää johtuvan siitä, että aiemmin oli mahdollista listata NFT uudelleen uudella hinnalla ilman, että aiempaa listausta peruutettiin. Niitä vanhoja listauksia käytetään nyt NFT:iden ostamiseen aiemmin määritellyillä hinnoilla – usein selvästi nykyisten markkinahintojen alapuolella.”
Bugia on käytetty hyväksi NFT:n kaappaamiseen
Yksi tätä bugia hyödyntämällä varastetuista NFT:istä oli Bored Ape #9991 suositusta Bored Ape Yacht Club -kokoelmasta. NFT ostettiin hintaan 0.77 ETH (noin 1747 dollaria), mikä on dramaattisen alhainen hinta Bored Ape NFT:lle, jota myydään yleensä satoilla tuhansilla dollareilla. Omistaja ei kuitenkaan myyntihetkellä tiennyt, että NFT oli listattu niin pienellä summalla. Pian sen jälkeen sama NFT myytiin hintaan 84.2 ETH (noin 189,040 187,000 dollaria), mikä tuotti merkittävää voittoa, yli XNUMX XNUMX dollaria.
Toimitusjohtaja Robinson on huomauttanut yhteensä kahdeksan NFT:tä, jotka on varastettu tällä tavalla. Alkuperäiset lompakot olivat kaikki erilaisia, kun taas hyökkääjien lompakoita oli vain kolme. Toinen hyökkääjän lompakko pystyi hankkimaan seitsemän NFT:tä 133,000 23 dollarilla, kun taas kolmas osti toisen Bored Ape NFT:n vaatimattomalla XNUMX ETH:lla.
Kuinka tämä bugi luodaan?
Ohjelmistokehittäjä Rotem Yakir on Twitter-säikeessä tiivisttänyt, kuinka virhe syntyi NFT-älysopimuksissa saatavilla olevien tietojen ja OpenSean käyttöliittymän esittämien tietojen välisestä ristiriidasta. Viime kädessä bugi antaa hyökkääjille mahdollisuuden päästä käsiksi vanhoihin sopimushintoihin, jotka ovat edelleen olemassa lohkoketjussa, mutta jotka on estetty näkyvistä OpenSea-sovelluksessa. Potentiaaliset ostajat OpenSeassa tekevät tarjouksen näkyvästä "listahinnasta", jonka NFT-omistaja on määrittänyt. Kun ostaja hyväksyy listahinnan, NFT:n omistusoikeus siirtyy automaattisesti hänelle.
Virhe syntyy, kun omistajat haluavat listata NFT-yhtiönsä uudelleen korkeampaan hintaan, mutta eivät halua maksaa kaasumaksuja ensimmäisen listauksen peruuttamisesta. Sen sijaan he siirtävät NFT:n toiseen lompakkoon ja sitten takaisin alkuperäiseen lompakkoon. Tämä poistaa tiedot OpenSean käyttöliittymästä. Alkuperäinen listaus pysyy kuitenkin aktiivisena lohkoketjussa ja löytyy OpenSea API:n kautta.
On mielenkiintoista huomata, että tämä bugi löydettiin jo joulukuussa 2021. Lisäksi vielä tammikuussa 2022 Twitter-säie valaisi NFT:n pakkomyyntiä tällä menetelmällä. OpenSea ei kuitenkaan tuolloin ryhtynyt ehkäiseviin toimiin.
Vastuuvapauslauseke: Tämä artikkeli on tarkoitettu vain tiedoksi. Sitä ei tarjota eikä ole tarkoitettu käytettäväksi laki-, vero-, sijoitus-, rahoitus- tai muuna neuvona.
Lähde: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea