Hekerji so izkoristili obstoječo napako na platformi OpenSea za nakup več NFT-jev v vrednosti več kot milijon dolarjev z drastičnimi šestmestno popusti.
Elliptic poroča o izgubi NFT na OpenSea
V vdoru so bili tarča NFT-ji v več denarnicah, kjer so jih napadalci lahko kupili po predhodno navedenih cenah, ne da bi lastnikom obvestili. OpenSea še ni komentiral ali napovedal napada, ki ga je najprej opazilo in poročalo podjetje za analitiko blockchain Elliptic.
Po besedah glavnega znanstvenika in soustanovitelja podjetja Elliptic, Toma Robinsona
»Zdi se, da izkoriščanje izvira iz dejstva, da je bilo prej mogoče ponovno uvrstiti NFT na borzo po novi ceni, ne da bi preklicali prejšnje kotacijo. Ti stari oglasi se zdaj uporabljajo za nakup NFT po cenah, določenih v preteklosti – pogosto precej pod trenutnimi tržnimi cenami.
Izkoriščena napaka za ugrabitev NFT-jev
Eden od NFT-jev, ukradenih z izkoriščanjem te napake, je bil Bored Ape #9991 iz priljubljene zbirke Bored Ape Yacht Club. NFT je bil kupljen za 0.77 ETH (okoli 1747 $), kar je drastično nizka cena za Bored Ape NFT, ki se običajno prodaja za več sto tisoč dolarjev. Vendar lastnik ob prodaji ni vedel, da je bil NFT kotiran za tako nizek znesek. Kmalu zatem je bil isti NFT prodan za 84.2 ETH (približno 189,040 $), kar je pomenilo znaten dobiček v višini več kot 187,000 $.
Izvršni direktor Robinson je opozoril na skupno osem NFT-jev, ki so bili ukradeni na ta način. Izhodiščne denarnice so bile vse različne, medtem ko so bile skupne denarnice napadalca le tri. Druga denarnica napadalca je lahko pridobila sedem NFT za 133,000 $, tretja pa še Bored Ape NFT za pičlih 23 ETH.
Kako je ta napaka ustvarjena?
V temi na Twitterju je razvijalec programske opreme Rotem Yakir povzel, kako je bila napaka ustvarjena zaradi neusklajenosti med informacijami, ki so na voljo v pametnih pogodbah NFT, in informacijami, predstavljenimi v uporabniškem vmesniku OpenSea. Navsezadnje napaka napadalcem omogoča dostop do starih pogodbenih cen, ki še vedno obstajajo v verigi blokov, vendar so onemogočene za ogled v aplikaciji OpenSea. Potencialni kupci na OpenSea oddajo ponudbo po vidni »ceni po ceniku«, kot jo določi lastnik NFT. Ko kupec sprejme prodajno ceno, se lastništvo NFT samodejno prenese nanj.
Napaka nastane, ko lastniki želijo ponovno uvrstiti svoje NFT na višjo ceno, vendar ne želijo plačati pristojbin za plin za preklic prvega seznama. Zato namesto tega prenesejo NFT v drugo denarnico in nato nazaj v prvotno denarnico. S tem odstranite seznam iz sprednjega dela OpenSea. Vendar pa prvotni seznam ostane aktiven v verigi blokov in ga je mogoče najti prek API-ja OpenSea.
Zanimivo je, da je bil ta hrošč odkrit že decembra 2021. Poleg tega je tudi januarja 2022 nit na Twitterju osvetlila prisilno prodajo NFT s to metodo. Vendar OpenSea takrat ni sprejela nobenih preventivnih ukrepov.
Izjava o omejitvi odgovornosti: Ta članek je na voljo samo v informativne namene. Ni ponujen ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet.
Vir: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea