Здаецца, ашуканцы карыстаюцца памылкай OpenSea, каб набыць каштоўныя NFT па значна больш нізкай цане, чым у іх бягучым спісе.
Некалькі даследчыкаў і распрацоўшчыкаў падрабязна апісалі бягучую праблему, прычым некаторыя сцвярджаюць, што канкрэтныя NFT коштам у сотні тысяч долараў былі скрадзены з дапамогай памылкі платформы.
Памылка OpenSea адкрывае платформу для ўзлому
Згодна з паведамленнямі, збой у інтэрфейсе вядомага рынку незаменных токенаў (NFT) OpenSea прывёў да эксплойта, які дазваляе карыстальнікам набываць папулярныя NFT па іх папярэдняй цане ў спісе.
Праблема, здаецца, распаўсюджаная ў NFT-калекцыйных прадметах Bored Ape Yacht Club (BAYC) і Mutant Ape Yacht Club (MAYC), дзе эксплуататар змог набыць іх па першапачатковай цане ў спісе і пасля прадаць па бягучай рынкавай цане. BAYC №9991, BAYC №8924 і MAYC №4986 - сярод NFT, якія пацярпелі.
Пра ўзлом стала вядома пасля таго, як калекцыянер NFT «TBALLER» напісаў у твітэры, што іх рэдкі Bored Ape №9991 быў прададзены за цану 77 ETH, або 1,775 долараў рана раніцай у панядзелак.
Yooo хлопцаў! Idk, што толькі што здарылася, чаму мая малпа проста прадала за .77?????
— TBALLER.eth (@T_BALLER6) Студзень 24, 2022
Пакупнік, які называе «jpegdegenlove», амаль адразу перавярнуў ape NFT за 84.2 ETH, або прыкладна 200,000 332 долараў. Карыстальнік змог перавярнуць каля 754,000 ETH ($XNUMX XNUMX).
Паведамленне аб балансе кашалька Ether для эксплуататара. Крыніца: Etherscan
PekShieldAlert — бот папулярнай ахоўнай фірмы PeckShield для папярэджанняў у рэжыме рэальнага часу — раней сёння папярэдзіў пра недахоп інтэрфейсу OpenSea, адзначыўшы, што на той момант эксплойт ужо атрымаў 332 ETH на суму каля 750 тысяч долараў.
Падобна на тое, што @opensea ёсць праблема інтэрфейсу, і эксплойтар атрымаў каля 332 эфіраўhttps://t.co/35kCB1n7nv
— PeckShieldAlert (@PeckShieldAlert) Студзень 24, 2022
Па дадзеных фірмы па аналізе крыптавалют Elliptic, на leaOpenSeast тры зламыснікі набылі NFT агульным рынкавым коштам крыху больш за 1 мільён долараў, выкарыстоўваючы гэтую слабасць з раніцы панядзелка. «Выкарыстоўваючы гэты недахоп, адзін зламыснік сёння заплаціў у агульнай складанасці 133,000 934,000 долараў за сем NFT, перш чым хутка прадаць іх за XNUMX XNUMX долараў», — гаворыцца ў блогу фірмы.
ў Twitter паток, растлумачыў уразлівасць Rotem Yakir, распрацоўшчык дэцэнтралізаванага грашовага бізнесу Orbs.com. Па словах Якіра, людзі, якія паўторна пералічылі свае NFT, не адмяняючы іх, а затым прадалі іх па больш высокай цане, маглі купіць іх па больш нізкай цане праз збой.
Раней сёння даследчык бяспекі Тал Бе'еры пацвердзіў адкрыццё Elliptic і Якіра адлюстраванне дадзеных з блокчейна Ethereum, які пацвярджае, што Bored Ape Yacht Club #8274 быў набыты ў ліпені за 50,500 22.9 долараў (296,000 ETH) і перапрададзены прыкладна за 130 XNUMX долараў. (XNUMX ETH).
Звязаны артыкул | Што пайшло не так пры ўзломе Crypto.com (CRO)? Эксперты ўзважваюць
Гэты эксплойт не новы
Больш ранні эксплойт 31 снежня стаў сведкам падобнага сцэнарыя, у якім праблема, здавалася, узнікла ў выніку пераносу актываў з кашалька OpenSea на асобны кашалёк без адмены лістынга.
Па словах аднаго карыстальніка, калі нехта, які выкарыстоўвае OpenSea, выставіць NFT на продаж, а потым вырашыць, што не хоча, каб гэтая рэклама заставалася актыўнай, платформа спаганяе плату за яе выдаленне. Аднак гэта можа каштаваць дорага, таму карыстальнікі вынайшлі абыходны шлях, калі яны перавялі NFT на іншы кашалёк, тым самым скасаваўшы спіс.
1/ Нядаўна быў @opensea эксплойт, які дазволіў набываць актывы па значна зніжаных цэнах, у тым ліку 3 абанементы freshdrops, BAYC https://t.co/8pEgeXkOBo, некалькі MAYC і многае іншае. Сёння раніцай я правёў некаторыя даследаванні, і вось што адбываецца -> ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) Снежань 31, 2021
OpenSea не разглядала праблему, калі пра яе паведамлялася.
Звязаны артыкул | BitMart пакідае карыстальнікаў на чытанні, бо ахвяры ўзлому чакаюць вяртання сродкаў
Карыстальнікі могуць убачыць, ці быў іх спіс выдалены з Rarible, яшчэ аднаго рынку NFT, які выкарыстоўвае API OpenSea. Па словах карыстальніка, пра недахоп было паведамлена пасля снежаньскага здарэння, але ніякіх дзеянняў па яго ліквідацыі не было зроблена.
ETH/USD вагаецца вышэй за 2,400 долараў. Крыніца: TradingView
Варта адзначыць, што гэтая праблема ўзнікла ў выніку задуманага дызайну OpenSea, цэнтралізаванага сэрвісу, які выкарыстоўвае дэцэнтралізаваныя манеты. Цяжка класіфікаваць гэта як узлом ці нават памылку. OpenSea інфармуе спажыўцоў, што менавіта так працуе яго сэрвіс, што прывяло да шматлікіх махлярстваў. Памылка OpenSea паказвае, што гэта неакуратны рынак, і калі карыстальнікі не будуць асцярожна прытрымлівацца належных практык, яны могуць быць выкарыстаны больш дасведчанымі карыстальнікамі.
У цяперашні час незразумела, ці разглядаецца памылка OpenSea як адкрытая хіба бяспекі або як вынік памылкі карыстальніка.
Рэкамендаваны малюнак з Unsplash, дыяграма з TradingView.com і Etherscan
Крыніца: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/