OpenSea on nüüd hüvitanud 750 Ethereumi, umbes $ 1.8 miljonit, kasutajatele, kes müüsid kogemata väärtuslikke NFT-sid tunduvalt madalama turuhinnaga, kasutades ära "passiivsed nimekirjad. "
Viimasel ajal on mitmed kasutajad juhtivad NFT› Marketplace oli kurtnud, et nende blue chip NFT-d, näiteks need, mis kuuluvad Bored Ape Yacht Clubi (BAYC) kollektsiooni, osteti vanade odavate noteerimishindadega. Neid loendeid ei tühistatud plokiahelas kunagi, kuigi OpenSea kasutajaliides viitas sellele.
Kuidas see juhtus? Tehnikatundlikud ostjad on kasutanud selliseid teenuseid nagu Tornado Cash, et suunata raha krüptorahakoti aadressidesse ilma allikat avaldamata ja neid vahendeid kasutanud NFT-de ostmiseks vanade noteerimishindadega.
See ärakasutamine pole uus. The Ethereum blockchain nõuab kasutajatelt gaasitasu maksmist tehingute sooritamiseks, sealhulgas OpenSea kirje tühistamiseks, mis pole veel aegunud. Kuid enne, kui OpenSea rakendas loenditele valitavaid aegumiskuupäevi, olid paljudel NFT omanikel passiivsed kirjed, millel polnud aegumiskuupäeva ja seega oli vaja tasutud gaasitasu kaudu käsitsi tühistada. Aegunud kirjed on korras, kuid mitteaktiivsed kirjed kujutavad endast ohtu.
Püüdes vältida Ethereumi gaasitasude maksmist, mis võib ühe tehingu eest sageli ulatuda sadadesse dollaritesse, leidsid mõned NFT omanikud lünga. Kui nad teisaldasid NFT teise rahakotti ja seejärel tagasi esimesse rahakotti, kadus see kirje OpenSea kasutajaliideses.
Kuid tegelikult oli loend lihtsalt muutunud aktiivsest mitteaktiivseks. Ja passiivseid kirjeid saavad endiselt osta plokiahela eksperdid, kes suhtlevad otse nutikate lepingutega ise, mitte OpenSea kasutajaliidesega.
Vastuseks võttis OpenSea oma töölauasaidil välja passiivsete loendite funktsiooni jaanuar 24. Nad ei vastanud Avaldage lahtieelmine kommentaaritaotlus.
OpenSea ütles mõnele BAYC-i omanikule selle nädala alguses, et neile makstakse kaotuse eest Ethereumi osa tagasi. Tballer, kes kaotas Ape #9991 0.77 ETH (umbes 1,700 dollari) eest, rääkis Avaldage lahti 25. jaanuaril, et ta tundis, et sai OpenSealt "üsna aeglase vastuse", kuid oli "õnnelik, et nad minu juurde tagasi said".
"[NFT] kogukond aitas mind sellest läbi," rääkis Tballer Avaldage lahti. "Sel õhtul, kui see juhtus, olin üsna lähedal koju minekule ja kõik maha müümisele."
Tballer's Ape näib nüüd kuuluvat Juan Fdez, kes ostis kaks kogemata müüdud Ahvi. Fdezil on ka BAYC #8924, mille eest oli 6.66 ETH (umbes 17,000 XNUMX dollarit). Fdez ei vastanud Avaldage lahtikommentaaritaotlus.
Kui Tballer tahab oma Ahvi tagasi, peab ta maksma 130 ETH (330,000 XNUMX dollarit).
26. jaanuaril saatis OpenSea NFT omanikele mitteaktiivsete kirjetega e-kirja, milles käskis neil "mitteaktiivsete kirjete tühistamiseks kiiresti tegutseda".
Need juhised tekitasid muret, nagu NFT kollektsionäär Dingaling väitis a pikka Twitterit et meil oli "nende poolt uskumatult vastutustundetu ja teeb asja 100 korda hullemaks. See muudab ärakasutamise tegelikult palju lihtsamaks."
1/ HOIATUS: ÄRGE TÜHISTAGE OMA OS-I KIRJELDUSI, NAGU ON ESITATUD MEILIS, MIS OPENSEA AINULT VÄLJA saadeti??
Palun ESIMEST teisaldage oma NFT teisele aadressile ja tühistage kirje/nimekirjad algsel aadressil ENNE selle tagasisaatmist
OS asetas kõik veelgi suuremasse ohtu kui varem?
— dingaling (@dingalingts) Jaanuar 27, 2022
Lihtsalt käskides kasutajatel OpenSea veebisaidil passiivsed kirjed ükshaaval tühistada, võimaldas see tegelikult ekspluataatoritel sooritada oste muudel passiivsetel kirjetel. Näiteks Mutant Ape jahtklubi omanik Swolfchan hoidis oma Ape'i oma rahakotis ja tühistas 15 ETH passiivse nimekirja. Pärast seda kavatsesid nad 6 ETH nimekirja tühistada.
Kuid vahepeal, kui Swolfchanil kulus esimese passiivse kirje tühistamiseks ja teisele üleminekuks, ostis ärakasutaja oma Ape'i 6 ETH hinnaga.
Dingaling selgitas, et kui Swolfchan oleks ahvi teise rahakotti üle kandnud, seejärel kõik kirjed tühistanud ja seejärel ahvi tagasi põhirahakotti viinud, oleks see olnud ohutu. Kuid näis, et OpenSea ei esitanud neid juhiseid oma esialgses meilis.
OpenSea kaasasutaja Alex Atallah ütles Dingalingile 27. jaanuaril, et "selle probleemi lahendamine on meie ettevõtte prioriteet. Meie meeskond töötab selle kallal ja võtab nüüd kasutusele vastumeetmed.
Mis puudutab neid lahendusi, siis Ledgeri tehnoloogiadirektoril Charles Guillemetil on mõned ideed: "Teistsugune kujundus oleks võinud sellist probleemi vältida," ütles ta. Avaldage lahti. Guillemet väidab, et OpenSea kasutajaliides oleks pidanud olema kasutajatele selgem. "NFT ülekandmine ei tohiks kasutajaliidesest müügitellimust eemaldada," ütles ta.
Allikas: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit