OpenSea viga toob kaasa tohutu NFT kadumise

Häkkerid kasutasid OpenSea platvormi olemasolevat viga, et osta drastiliste kuuekohaliste allahindlustega mitu üle miljoni dollari väärtuses NFT-d. 

Elliptiline teatab NFT kaotusest OpenSeas

Häkkimise sihtmärgiks olid mitme rahakoti NFT-d, kus ründajad said neid osta varem loetletud hindadega ilma omanikele vihjeid andmata. OpenSea ei ole veel kommenteerinud ega avaldanud rünnaku kohta, mida esimesena märkas ja teatas plokiahela analüüsiettevõte Elliptic. 

Ellipticu juhtivteadlase ja kaasasutaja Tom Robinsoni sõnul

„Tundub, et ärakasutamine tuleneb asjaolust, et varem oli võimalik NFT-d uue hinnaga uuesti noteerida, ilma eelnevat noteerimist tühistamata. Neid vanu kirjeid kasutatakse nüüd NFT-de ostmiseks varem kindlaksmääratud hindadega – sageli praegustest turuhindadest tunduvalt madalamate hindadega.

NFT-de haaramiseks kasutati viga

Üks selle vea ärakasutamise tõttu varastatud NFT-dest oli Bored Ape #9991 populaarsest Bored Ape Yacht Clubi kollektsioonist. NFT osteti 0.77 ETH (umbes 1747 dollari) eest, mis on Bored Ape NFT jaoks drastiliselt madal hind, mida müüakse tavaliselt sadade tuhandete dollarite eest. Müügi ajal ei olnud omanik aga teadlik, et NFT oli börsil noteeritud nii väikese summa eest. Varsti pärast seda müüdi sama NFT hinnaga 84.2 ETH (umbes 189,040 187,000 dollarit), mis teenis märkimisväärset, üle XNUMX XNUMX dollari suurust kasumit. 

Tegevjuht Robinson on välja toonud kokku kaheksa NFT-d, mis on sel viisil varastatud. Algsed rahakotid olid kõik erinevad, samas kui ründajate rahakotte oli kokku vaid kolm. Veel üks ründaja rahakott suutis hankida seitse NFT-d 133,000 23 dollari eest, kolmas aga teise Bored Ape'i NFT-i XNUMX ETH eest. 

Kuidas see viga luuakse? 

Tarkvaraarendaja Rotem Yakir on Twitteri lõimes kokku võtnud, kuidas viga tekkis NFT nutikates lepingutes saadaoleva teabe ja OpenSea kasutajaliidese esitatud teabe mittevastavuse tõttu. Lõppkokkuvõttes võimaldab viga ründajatel pääseda juurde vanadele lepinguhindadele, mis on plokiahelas endiselt olemas, kuid on OpenSea rakenduses blokeeritud. Potentsiaalsed OpenSea ostjad teevad pakkumise nähtavale "loendihinnale", mille on määranud NFT omanik. Kui ostja nõustub loendihinnaga, läheb NFT omandiõigus talle automaatselt üle. 

Viga tekib siis, kui omanikud soovivad oma NFT-d kõrgema hinnaga uuesti noteerida, kuid ei taha maksta gaasitasusid esimese noteerimise tühistamiseks. Selle asemel kannavad nad NFT teise rahakotti ja seejärel tagasi algsesse rahakotti. Seda tehes eemaldatakse kirje OpenSea esiosast. Algne kirje jääb aga plokiahelas aktiivseks ja selle leiate OpenSea API kaudu. 

Huvitav on märkida, et see viga avastati juba 2021. aasta detsembris. Veelgi enam, isegi 2022. aasta jaanuaris andis Twitteri lõim valgust NFT-de sundmüügile selle meetodiga. Siiski ei võtnud OpenSea sel ajal mingeid ennetavaid meetmeid.

Kohustustest loobumine: see artikkel on ette nähtud ainult teavitamise eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- või muu nõuandena.