Hakeri su iskoristili postojeću grešku na platformi OpenSea za kupnju više NFT-ova vrijednih više od milijun dolara uz drastične šesteroznamenkasti popust.
Elliptic izvještava o gubitku NFT-a na OpenSea
NFT-ovi u više novčanika bili su meta hakiranja, gdje su ih napadači mogli kupiti po prethodno navedenim cijenama bez dojave vlasnika. OpenSea tek treba dati komentar ili najavu u vezi s napadom, koji je prva primijetila i prijavila tvrtka za analizu blokova Elliptic.
Prema glavnom znanstveniku i suosnivaču tvrtke Elliptic, Tomu Robinsonu
“Čini se da eksploatacija dolazi iz činjenice da je prije bilo moguće ponovno uvrštavanje NFT-a na listu po novoj cijeni, bez otkazivanja prethodnog popisa. Ti stari oglasi sada se koriste za kupnju NFT-ova po cijenama navedenim u prošlosti – često znatno ispod trenutnih tržišnih cijena.”
Iskorištena greška za otimanje NFT-ova
Jedan od NFT-ova ukradenih iskorištavanjem ove greške bio je Bored Ape #9991 iz popularne kolekcije Bored Ape Yacht Club. NFT je kupljen za 0.77 ETH (oko 1747 dolara), što je drastično niska cijena za Bored Ape NFT, koja se obično prodaje za stotine tisuća dolara. Međutim, vlasnik u vrijeme prodaje nije bio svjestan da je NFT bio na berzi za tako mali iznos. Ubrzo nakon toga, isti je NFT prodan za 84.2 ETH (približno 189,040 USD), što predstavlja značajan profit od preko 187,000 USD.
Izvršni direktor Robinson je istaknuo ukupno osam NFT-ova koji su ukradeni na ovaj način. Izvorni novčanici bili su različiti, dok su ukupni novčanici napadača bili samo tri. Drugi napadački novčanik uspio je nabaviti sedam NFT-ova za 133,000 dolara, dok je treći kupio još jedan Bored Ape NFT za sićušnih 23 ETH.
Kako je stvorena ova greška?
U niti na Twitteru, programer Rotem Yakir sažeo je kako je greška nastala zbog neusklađenosti između informacija dostupnih u NFT pametnim ugovorima i informacija predstavljenih korisničkim sučeljem OpenSea. U konačnici, bug napadačima omogućuje pristup starim ugovorenim cijenama koje još uvijek postoje na blockchainu, ali su blokirane u pogledu na OpenSea aplikaciji. Potencijalni kupci na OpenSea-u daju ponudu po vidljivoj “karakternoj cijeni” koju je odredio vlasnik NFT-a. Nakon što kupac prihvati katalošku cijenu, vlasništvo nad NFT-om se automatski prenosi na njega.
Greška se stvara kada vlasnici žele ponovno upisati svoje NFT-ove po višoj cijeni, ali ne žele platiti naknade za plin kako bi otkazali prvi popis. Umjesto toga, oni prenose NFT u drugi novčanik, a zatim natrag u izvorni novčanik. Ovim se unos uklanja s sučelja OpenSea. Međutim, izvorni popis ostaje aktivan na blockchainu i može se pronaći putem OpenSea API-ja.
Zanimljivo je napomenuti da je ovaj bug otkriven još u prosincu 2021. Nadalje, čak i u siječnju 2022., nit na Twitteru je osvijetlila prisilnu prodaju NFT-a ovom metodom. Međutim, OpenSea u to vrijeme nije poduzeo nikakve preventivne mjere.
Izjava o odricanju odgovornosti: Ovaj je članak dostupan samo u informativne svrhe. Ne nudi se niti se namjerava koristiti kao pravni, porezni, investicijski, financijski ili drugi savjet.
Izvor: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea