OpenSea Bug прыводзіць да масавых страт NFT

Хакеры выкарысталі існуючую памылку ў платформе OpenSea, каб набыць некалькі NFT на суму больш за мільён долараў з рэзкімі шасцізначнымі зніжкамі. 

Elliptic паведамляе аб страце NFT на OpenSea

NFT на некалькіх кашальках былі мішэнню ўзлому, дзе зламыснікі маглі купіць іх па раней паказаных цэнах, не паведамляючы ўладальнікам. OpenSea пакуль не каментуе і не аб'яўляе адносна атакі, якую ўпершыню заўважыла і паведаміла аналітычная кампанія па блокчейне Elliptic. 

Па словах галоўнага навукоўца і сузаснавальніка Elliptic Тома Робінсана

«Эксплойт, відаць, зыходзіць з таго, што раней можна было паўторна размясціць NFT па новай цане, не адмяняючы папярэдні спіс. Гэтыя старыя спісы цяпер выкарыстоўваюцца для пакупкі NFT па цэнах, указаных у мінулым - часта значна ніжэйшых за бягучыя рынкавыя цэны».

Памылка, якая выкарыстоўваецца для захопу NFT

Адным з NFT, скрадзеных з дапамогай гэтай памылкі, быў Bored Ape № 9991 з папулярнай калекцыі Bored Ape Yacht Club. NFT быў набыты за 0.77 ETH (каля 1747 долараў), што з'яўляецца рэзка нізкай цаной для Bored Ape NFT, які звычайна прадаецца за сотні тысяч долараў. Аднак уладальнік на момант продажу не ведаў, што NFT былі ўнесены ў спіс за такую ​​нізкую суму. Неўзабаве пасля гэтага той жа NFT быў прададзены за 84.2 ETH (прыблізна 189,040 187,000 долараў), што прывяло да значнага прыбытку ў памеры больш за XNUMX XNUMX долараў. 

Генеральны дырэктар Робінсан адзначыў у агульнай складанасці восем NFT, якія былі скрадзены такім чынам. Усе першапачатковыя кашалькі былі рознымі, а ўсяго кашалькоў зламыснікаў было толькі тры. Іншы кашалёк зламысніка змог набыць сем NFT за 133,000 23 долараў, а трэці набыў яшчэ адзін Bored Ape NFT за мізэрныя XNUMX ETH. 

Як ствараецца гэтая памылка? 

У тэме Twitter распрацоўшчык праграмнага забеспячэння Rotem Yakir абагульніў, як памылка была створана з-за несупадзення інфармацыі, даступнай у смарт-кантрактах NFT, і інфармацыі, прадстаўленай карыстальніцкім інтэрфейсам OpenSea. У рэшце рэшт, памылка дазваляе зламыснікам атрымаць доступ да старых цэн кантрактаў, якія ўсё яшчэ існуюць у блокчейне, але заблакіраваны для прагляду ў дадатку OpenSea. Патэнцыйныя пакупнікі на OpenSea робяць стаўку на бачную «прайс-ліст», усталяваную ўладальнікам NFT. Пасля таго, як пакупнік прымае прайс-ліст, права ўласнасці на NFT аўтаматычна перадаецца яму. 

Памылка ўзнікае, калі ўладальнікі хочуць паўторна размясціць свае NFT па больш высокай цане, але не жадаюць плаціць зборы за газ, каб адмяніць першы спіс. Такім чынам, замест гэтага яны пераводзяць NFT на іншы кашалёк, а потым назад на зыходны кашалёк. Гэта выдаляе спіс з інтэрфейсу OpenSea. Аднак арыгінальны спіс застаецца актыўным у блокчейне, і яго можна знайсці праз OpenSea API. 

Цікава адзначыць, што гэтая памылка была выяўлена яшчэ ў снежні 2021 года. Больш за тое, нават у студзені 2022 года паток у Twitter праліў святло на прымусовы продаж NFT з дапамогай гэтага метаду. Аднак у той час OpenSea не прыняла ніякіх прэвентыўных мер.

Адмова: Гэты артыкул прадастаўлены толькі ў інфармацыйных мэтах. Ён не прапануецца і не прызначаны для выкарыстання ў якасці юрыдычнай, падатковай, інвестыцыйнай, фінансавай ці іншай кансультацыі.