Čini se da prevaranti iskorištavaju OpenSea bug kako bi kupili vrijedne NFT-ove po znatno nižoj cijeni od njihove trenutačne ponude.
Nekoliko istraživača i programera detaljno je opisali problem koji je u tijeku, a neki tvrde da su specifični NFT-ovi vrijedni stotine tisuća dolara ukradeni iskorištavanjem greške platforme.
OpenSea Bug otvara platformu za hakiranje
Prema izvješćima, greška u prednjem dijelu istaknutog non-fungible tokena (NFT) tržišta OpenSea rezultirala je eksploatacijom koja korisnicima omogućuje stjecanje popularnih NFT-ova po njihovoj prethodnoj cijeni.
Čini se da problem prevladava s kolekcionarskim predmetima Bored Ape Yacht Club (BAYC) i Mutant Ape Yacht Club (MAYC) NFT, gdje ih je eksploatator mogao kupiti po njihovoj originalnoj prodajnoj cijeni, a zatim ih prodati po trenutnoj tržišnoj cijeni. BAYC #9991, BAYC #8924 i MAYC #4986 su među zahvaćenim NFT-ovima.
Hak je otkriven nakon što je NFT kolekcionar “TBALLER” tweetao da je njihov rijedak Bored Ape #9991 prodan za 77 ETH, ili 1,775 dolara u ponedjeljak rano ujutro.
Jooo dečki! Idk što se upravo dogodilo zašto se moj majmun upravo prodao za .77 ?????
— TBALLER.eth (@T_BALLER6) 24. 2022. XNUMX.
Kupac, koji se naziva "jpegdegenlove", gotovo je odmah okrenuo majmuna NFT za 84.2 ETH, ili otprilike 200,000 dolara. Korisnik je uspio okrenuti oko 332ETH (754,000 USD).
Prijavljeni iskorištavač Ether novčanika saldo Izvor: Etherscan
PekShieldAlert — bot za upozorenja u stvarnom vremenu popularne sigurnosne tvrtke PeckShield — ranije danas upozorio je na nedostatku front-enda OpenSea, uz napomenu da je eksploatirani već dobio 332 ETH u vrijednosti od oko 750 dolara u to vrijeme.
Čini se da je @opensea ima problem s prednjim dijelom i iskorištavač je dobio oko 332 Ether https://t.co/35kCB1n7nv
—PeckShieldAlert (@PeckShieldAlert) 24. 2022. XNUMX.
Prema tvrtki za analizu kriptovalute Elliptic, u leaOpenSeastu tri su napadača kupila NFT-ove ukupne tržišne vrijednosti nešto više od milijun dolara koristeći tu slabost od ponedjeljka ujutro. “Iskorištavanjem ove mane, jedan je napadač danas platio ukupno 1 dolara za sedam NFT-ova – prije nego što ih je brzo prodao za 133,000 dolara”, stoji na blogu tvrtke.
U Twitter nit, Rotem Yakir, programer u poslovanju s decentraliziranim novcem Orbs.com, objasnio je ranjivost. Prema Yakiru, ljudi koji su svoje NFT-ove ponovno stavili na popis, a da ih nisu otkazali, a zatim ih prodali po višoj cijeni, mogli su ih kupiti po nižoj cijeni zbog greške.
Ranije danas, istraživač sigurnosti Tal Be'ery potvrdio je Elliptic i Yakirovo otkriće od prikazivanje podataka iz Ethereum blockchaina koji potvrđuje da je Bored Ape Yacht Club #8274 kupljen u srpnju za 50,500 22.9 USD (296,000 ETH) i preprodan za oko 130 XNUMX USD. (XNUMX ETH).
Povezani članak | Što je pošlo po zlu u Crypto.com (CRO) haku? Stručnjaci vagaju
Ovaj podvig nije nov
Raniji eksploatacija 31. prosinca svjedočila je sličnom scenariju, u kojem se činilo da problem dolazi zbog prijenosa sredstava iz OpenSea novčanika u zasebni novčanik bez otkazivanja listinga.
Prema jednom korisniku, ako netko koristi OpenSea stavi NFT na prodaju i kasnije odluči da ne želi da taj oglas ostane aktivan, platforma bi naplatila njegovo uklanjanje. To, međutim, može biti skupo, stoga su korisnici osmislili zaobilazno rješenje gdje su NFT prenijeli u drugi novčanik, čime su otkazali unos.
1/ Nedavno je došlo do @opensea exploit koji je omogućio kupnju imovine po znatno sniženim cijenama, uključujući 3 freshdrops propusnice, BAYC https://t.co/8pEgeXkOBo, više MAYC-ova i više. Jutros sam malo istraživao i evo što se događa -> a ??
— kapa10loše.ΞTH | freshdrops.io (@cap10bad) Prosinac 31, 2021
OpenSea nije riješio problem kada je prijavljen.
Povezani članak | BitMart ostavlja korisnike na čitanju jer žrtve haka čekaju povrat novca
Korisnici mogu vidjeti je li njihov unos uklonjen s Rariblea, drugog NFT tržišta koje koristi OpenSea API. Prema riječima korisnika, kvar je prijavljen nakon prosinačke pojave, ali nije poduzeta nikakva radnja za njegovo rješavanje.
ETH/USD se kreće iznad 2,400 USD. Izvor: TradingView
Vrijedi napomenuti da je ovaj problem nastao kao rezultat planiranog dizajna OpenSea, centralizirane usluge koja koristi decentralizirane kovanice. Teško je ovo klasificirati kao hak ili čak bug. OpenSea obavještava potrošače da na taj način funkcionira njegova usluga, što je rezultiralo brojnim prijevarama. Greška OpenSea pokazuje da je to neuredno tržište i ako korisnici nisu oprezni da slijede ispravne prakse, možda će ih iskoristiti pametniji korisnici.
Trenutačno je nejasno tretira li se OpenSea bug kao otvoreni sigurnosni propust ili je rezultat pogreške korisnika.
Istaknuta slika s Unsplasha, grafikon s TradingView.com i Etherscan
Izvor: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/