Näib, et petturid kasutavad ära OpenSea viga, et osta väärtuslikke NFT-sid tunduvalt odavama hinnaga kui nende praegune nimekiri.
Mitmed teadlased ja arendajad on käimasolevat probleemi üksikasjalikult kirjeldanud, mõned väidavad, et platvormi vea ärakasutamise tõttu on varastatud konkreetsed NFT-d, mille väärtus on sadu tuhandeid dollareid.
OpenSea Bug avab häkkimiseks platvormi
Aruannete kohaselt on silmapaistva nonfungible token (NFT) turuplatsi OpenSea esiosa rike põhjustanud ärakasutamise, mis võimaldab kasutajatel omandada populaarseid NFT-sid nende eelneva noteerimishinnaga.
Probleem näib olevat levinud Bored Ape Yacht Clubi (BAYC) ja Mutant Ape Yacht Clubi (MAYC) NFT kogumisobjektide puhul, kus ekspluateerija sai need osta nende algse noteerimishinna eest ja seejärel müüa need praeguse turuhinnaga. Mõjutatud NFT-de hulka kuuluvad BAYC #9991, BAYC #8924 ja MAYC #4986.
Häkk tuli päevavalgele pärast seda, kui NFT kollektsionäär "TBALLER" säutsus, et nende haruldane Bored Ape #9991 müüdi esmaspäeva varahommikul 77 ETH ehk 1,775 dollari eest.
Ooo poisid! Tea, mis just juhtus, miks mu ahv just 77 eest müüs?????
— TBALLER.eth (@T_BALLER6) Jaanuar 24, 2022
Ostja, kes kasutab jpegdegenlove'i, vahetas ahvi NFT peaaegu kohe 84.2 ETH ehk ligikaudu 200,000 332 dollari eest. Kasutaja on suutnud ümber pöörata umbes 754,000ETH (XNUMX XNUMX dollarit).
Teatatud ärakasutaja Etheri rahakoti saldo Allikas: Etherscan
PekShieldAlert – populaarne turvafirma PeckShieldi reaalajas hoiatusteadete robot – hoiatas täna varem OpenSea esiotsa veast, märkides, et ekspluateeritav oli sel ajal juba saanud 332 ETH väärtuses umbes 750 XNUMX dollarit.
Tundub, et @opensea on esiotsa probleem ja ärakasutaja sai umbes 332 Etherit https://t.co/35kCB1n7nv
-PeckShieldAlert (@PeckShieldAlert) Jaanuar 24, 2022
Krüptovaluutade analüüsifirma Elliptic andmetel on kolm ründajat leaOpenSeastis ostnud NFT-sid, mille koguväärtus on veidi üle 1 miljoni dollari, kasutades nõrkust alates esmaspäeva hommikust. "Seda viga ära kasutades maksis üks ründaja täna seitsme NFT eest kokku 133,000 934,000 dollarit, enne kui müüs need kiiresti XNUMX XNUMX dollari eest," kirjutati ettevõtte ajaveebis.
Aastal Twitter thread, selgitas haavatavust Rotem Yakir, detsentraliseeritud rahaäri Orbs.com arendaja. Yakiri sõnul said inimesed, kes panid oma NFT-d uuesti nimekirja ilma neid tühistamata ja müüsid need seejärel kõrgema hinnaga, lasta need tõrke tõttu osta odavamalt.
Varem kinnitas turvateadlane Tal Be'ery Ellipticu ja Yakiri avastust andmete kuvamine Ethereumi plokiahelast, mis kinnitab, et Bored Ape Yacht Club #8274 osteti juulis 50,500 22.9 dollari (296,000 ETH) eest ja müüdi edasi umbes 130 XNUMX dollari eest. (XNUMX ETH).
Seotud artikkel | Mis läks Crypto.com-i (CRO) häkkimisel valesti? Eksperdid kaaluvad
See ärakasutamine pole uus
Varem, 31. detsembril toimunud ärakasutamine oli tunnistajaks sarnasele stsenaariumile, mille puhul näis, et probleem tekkis varade ülekandmisest OpenSea rahakotist eraldi rahakotti ilma noteerimist tühistamata.
Ühe kasutaja sõnul küsib platvorm selle eemaldamise eest tasu, kui keegi OpenSea kasutaja pani NFT müüki ja otsustas hiljem, et ei taha, et see reklaam aktiivseks jääks. See võib aga olla kulukas, seetõttu töötasid kasutajad välja lahenduse, mille kohaselt nad kandsid NFT teise rahakotti, tühistades seeläbi kirje.
1/ Hiljuti on olnud @opensea ärakasutamine, mis on võimaldanud varasid väga soodushinnaga osta, sealhulgas kolm värsket tilka pääset, BAYC https://t.co/3pEgeXkOBo, mitu MAYC-d ja palju muud. Uurisin täna hommikul ja siin on, mis toimub -> a ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) Detsember 31, 2021
OpenSea ei käsitlenud probleemi, kui sellest teatati.
Seotud artikkel | BitMart jätab kasutajad lugemiseks, kuna häkkimise ohvrid ootavad tagasimakseid
Kasutajad saavad näha, kas nende kirje on eemaldatud teisest OpenSea API-d kasutavast NFT turust Rarible. Kasutaja sõnul teatati veast pärast detsembrikuist juhtumit, kuid selle lahendamiseks midagi ette ei võetud.
ETH/USD püsib üle 2,400 $. Allikas: TradingView
Väärib märkimist, et see probleem tekkis detsentraliseeritud münte kasutava tsentraliseeritud teenuse OpenSea kavandatud disaini tõttu. Seda on raske liigitada häkkimiseks või isegi veaks. OpenSea teavitab tarbijaid, et just nii toimib tema teenus, mis on toonud kaasa mitmeid pettusi. OpenSea viga näitab, et tegemist on lohaka turuga ja kui kasutajad ei ole õigete tavade järgimisega ettevaatlikud, võivad targemad kasutajad neid ära kasutada.
Praegu on ebaselge, kas OpenSea viga käsitletakse avatud turvaveana või kasutaja veana.
Esiletõstetud pilt saidilt Unsplash, diagramm saidilt TradingView.com ja Etherscan
Allikas: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/