Цяпер OpenSea кампенсавала каля 750 Ethereum $ 1.8 мільёнаў, карыстальнікам, якія выпадкова прадалі каштоўныя NFT па цане, значна ніжэйшай за існуючы рынкавы курс, праз эксплойт з удзелам «неактыўныя спісы».
Нядаўна некалькі карыстальнікаў вядучых NFT› marketplace паскардзіўся, што іх блакітныя фішкі NFT, напрыклад тыя, што належаць калекцыі яхт-клуба Bored Ape Yacht Club (BAYC), былі набыты па старых танных цэнах. Гэтыя спісы ніколі не былі адменены ў блокчейне, нават калі карыстальніцкі інтэрфейс на OpenSea меркаваў, што яны былі.
Як гэта адбылося? Дасведчаныя ў тэхналогіях пакупнікі выкарыстоўвалі такія сэрвісы, як Tornado Cash, каб накіраваць грошы на адрасы крыптакашалькоў, не раскрываючы крыніцы, і выкарыстоўваць гэтыя сродкі для пакупкі NFT па старых цэнах.
Гэты эксплойт не новы. The Эфириума blockchain патрабуе ад карыстальнікаў плаціць збор за газ для выканання транзакцый, у тым ліку адмены лістынга на OpenSea, тэрмін дзеяння якога яшчэ не скончыўся. Але да таго, як OpenSea укараніў выбіраемую дату заканчэння тэрміну прыдатнасці ў спісах, многія ўладальнікі NFT мелі неактыўныя спісы, якія не мелі тэрміну прыдатнасці і, такім чынам, патрабавалі адмены ўручную праз аплачаную плату за газ. Пратэрмінаваныя спісы - гэта добра, але неактыўныя спісы ўяўляюць рызыку.
У спробе пазбегнуць выплаты збораў за газ Ethereum, якія часта могуць дасягаць сотняў долараў за адну транзакцыю, некаторыя ўладальнікі NFT знайшлі шчыліну. Калі яны перавялі NFT на другасны кашалёк, а потым назад на першы кашалёк, спіс знікае ў карыстацкім інтэрфейсе OpenSea.
Але на самой справе спіс проста перайшоў з «актыўнага» ў «неактыўны». І неактыўныя спісы па-ранейшаму могуць быць набыты экспертамі па блокчейне, якія ўзаемадзейнічаюць непасрэдна з самімі смарт-кантрактамі, а не з карыстальніцкім інтэрфейсам OpenSea.
У адказ OpenSea разгарнула функцыю «неактыўных спісаў» на сваім працоўным стале Студзень 24. Яны не адрэагавалі расшыфроўвацьпапярэдні запыт каментара.
Раней на гэтым тыдні OpenSea паведаміла некаторым уладальнікам BAYC, што ім будзе вернута частка Ethereum за страту. Тбаллер, які прайграў Ape №9991 за 0.77 ETH (каля 1,700 долараў), сказаў расшыфроўваць 25 студзеня ён адчуў, што атрымаў «даволі павольны адказ» ад OpenSea, але быў «шчаслівы, што яны вярнуліся да мяне».
«Супольнасць [NFT] дапамагла мне ў гэтым», — сказаў Тбалер расшыфроўваць. «У тую ноч, калі гэта адбылося, я быў блізкі да таго, каб пайсці дадому і ўсё прадаць».
Малпа Tballer's цяпер, здаецца, належыць Хуан Фдэз, які набыў дзвюх малпаў, якія былі ненаўмысна прададзеныя. Fdez таксама мае BAYC №8924, які быў прададзены за 6.66 ETH (каля 17,000 XNUMX долараў). Fdez не адказаў расшыфроўвацьпросьба аб каментарыі.
Калі Tballer захоча вярнуць сваю малпу, яму давядзецца заплаціць 130 ETH (330,000 XNUMX долараў).
26 студзеня OpenSea разаслала электронны ліст уладальнікам NFT з неактыўнымі спісамі, у якім загадала ім «тэрмінова дзейнічаць, каб адмяніць любыя неактыўныя спісы».
Гэтыя інструкцыі выклікалі пэўную занепакоенасць, як сцвярджаў калекцыянер NFT Дынгалінг у a доўгі Twitter паток што электронны ліст быў «неверагодна безадказным з іх боку і пагаршае сітуацыю ў 100 разоў. Гэта на самай справе значна палягчае выкананне эксплойта».
1/ ПАПЯРЭДЖАННЕ: НЕ АДМЯНЮЙЦЕ ВАШЫЯ СПІСЫ АС, ЯК ПАКАЗАНА Ў ЛІСТЫ, ЯКІЯ OPENSEA ТОЛЬКІ ДАШЛАЛА??
Калі ласка, СПЕРШУ перанясіце свой NFT на іншы адрас і адмяніце лістынг/ы на зыходным адрасе, ПЕРШ чым адправіць яго назад
АС падвяргае ўсіх яшчэ большай рызыцы, чым раней?
— dingaling (@dingalingts) Студзень 27, 2022
Проста кажучы карыстальнікам адмяняць неактыўныя спісы адзін за адным на сайце OpenSea, гэта фактычна дазваляла эксплуататарам рабіць пакупкі ў іншых неактыўных спісах. Напрыклад, уладальнік яхт-клуба Mutant Ape Swolfchan захаваў сваю малпу ў сваім галоўным кашальку і адмяніў неактыўны спіс на 15 ETH. Пасля гэтага яны планавалі адмяніць лістынг 6 ETH.
Але паміж часам, які спатрэбіўся Swolfchan, каб адмяніць першы неактыўны спіс і перайсці да другога, эксплуататар набыў іх Ape за 6 ETH.
Дынгалінг растлумачыў, што калі Swolfchan перавёў Ape на іншы кашалёк, а затым адмяніў усе спісы, а затым перамясціў Ape назад у асноўны кашалёк, яны былі б у бяспецы. Але OpenSea, здаецца, не дала гэтых інструкцый у сваім першым электронным лісце.
Сузаснавальнік OpenSea Алекс Аталлах сказаў Dingaling 27 студзеня, што «вырашэнне гэтай праблемы з'яўляецца прыярытэтам нашай кампаніі №1. У нас ёсць каманда, якая зараз над гэтым працуе і прымае меры супрацьдзеяння».
Наконт таго, якімі б маглі быць гэтыя рашэнні, у тэхнічнага дырэктара Ledger Чарльза Гілеме ёсць некалькі ідэй: «Іншы дызайн мог бы пазбегнуць такой праблемы», — сказаў ён расшыфроўваць. Гілеме сцвярджае, што карыстацкі інтэрфейс на OpenSea павінен быў быць больш зразумелым для карыстальнікаў. «Перадача NFT не павінна выдаліць заказ на продаж з карыстацкага інтэрфейсу», — сказаў ён.
Крыніца: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit