OpenSea tagad ir atmaksājis 750 Ethereum, aptuveni $ 1.8 miljoni, lietotājiem, kuri nejauši pārdeva vērtīgus NFT par krietni zemāku tirgus likmi, izmantojot ekspluatāciju, kas ietver "neaktīvi saraksti. "
Nesen vairāki lietotāji vadošo NFT› Marketplace bija sūdzējies, ka viņu zilās mikroshēmas NFT, piemēram, tās, kas pieder Bored Ape Yacht Club (BAYC) kolekcijai, tika iegādātas par vecām, lētām cenām. Šie ieraksti blokķēdē nekad netika atcelti, lai gan OpenSea lietotāja interfeiss liecināja, ka tie ir bijuši.
Kā tas notika? Tehniski lietpratīgi pircēji ir izmantojuši tādus pakalpojumus kā Tornado Cash, lai iepludinātu naudu kriptovalūtu maka adresēs, neatklājot avotu un izmantojuši šos līdzekļus, lai iegādātos NFT par vecajām cenām.
Šis izmantojums nav jauns. The Ethereum Blokķēde pieprasa lietotājiem maksāt gāzes maksu, lai veiktu darījumus, tostarp atceltu sarakstu OpenSea, kuram vēl nav beidzies derīguma termiņš. Taču, pirms OpenSea ieviesa sarakstos atlasāmus derīguma termiņus, daudziem NFT īpašniekiem bija neaktīvi saraksti, kuriem nebija derīguma termiņa, un tāpēc bija nepieciešama manuāla atcelšana, izmantojot samaksātu gāzes maksu. Ieraksti, kuriem beidzies derīguma termiņš, ir labi, taču neaktīvi ieraksti rada risku.
Cenšoties izvairīties no maksas par Ethereum gāzi, kas bieži vien var sasniegt simtiem dolāru par vienu darījumu, daži NFT īpašnieki atklāja nepilnību. Ja viņi pārsūtīja NFT uz sekundāro maku un pēc tam atpakaļ uz pirmo maku, ieraksts pazuda OpenSea lietotāja saskarnē.
Bet patiesībā saraksts vienkārši bija kļuvis no “aktīvā” uz “neaktīvo”. Un neaktīvos sarakstus joprojām var iegādāties blokķēdes eksperti, kas tieši mijiedarbojas ar pašiem viedajiem līgumiem, nevis OpenSea lietotāja saskarni.
Atbildot uz to, OpenSea savā darbvirsmas vietnē ieviesa funkciju “neaktīvi saraksti”. janvāris 24. Viņi neatbildēja Atšifrētiepriekšējais komentāra pieprasījums.
Dažiem BAYC īpašniekiem OpenSea šīs nedēļas sākumā paziņoja, ka par zaudējumiem viņiem tiks atmaksāta daļa Ethereum. Tballers, kurš zaudēja Ape #9991 par 0.77 ETH (apmēram 1,700 USD), pastāstīja Atšifrēt 25. janvārī, ka viņš juta, ka saņēmis “diezgan lēnu atbildi” no OpenSea, taču bija “laimīgs, ka viņi atgriezās pie manis”.
"[NFT] kopiena man palīdzēja ar to tikt galā," stāstīja Tballers Atšifrēt. "Tajā naktī, kad tas notika, es biju diezgan tuvu tam, lai dotos mājās un visu pārdotu."
Šķiet, ka Tballer's Ape tagad pieder Huans Fdezs, kurš iegādājās divus no netīšām pārdotajiem Pērtiķiem. Fdez pieder arī BAYC #8924, kas tika pārvilkta par 6.66 ETH (apmēram 17,000 XNUMX USD). Fdez neatbildēja Atšifrētlūgums komentēt.
Ja Tballers vēlas atgūt savu Ape, viņam būs jāmaksā 130 ETH (330,000 XNUMX USD).
26. janvārī OpenSea nosūtīja e-pasta ziņojumu NFT īpašniekiem ar neaktīviem ierakstiem, liekot viņiem "lūdzu, nekavējoties rīkoties, lai atceltu visus neaktīvos ierakstus".
Šie norādījumi izraisīja zināmas bažas, kā NFT kolekcionārs Dingalings apgalvoja a garš Twitter pavediens ka e-pasts bija "neticami bezatbildīgs no viņu puses un padara lietas 100x sliktākas. Tas faktiski padara ekspluatāciju daudz vieglāk izpildāmu.
1/ BRĪDINĀJUMS: NEATCEĻIET SAVUS OS IERAKSTOS, KĀ NOTEIKTS E-PASTA VĒSTĪBĀ, KAS TIKAI IZSŪTĪTA OPENSEA?
Lūdzu, PIRMS pārsūtiet savu NFT uz citu adresi un atceliet sarakstu/-us sākotnējā adresē, PIRMS to nosūtāt atpakaļ.
OS vienkārši visus pakļāva vēl lielākam riskam nekā iepriekš?
— dingalings (@dingalingts) Janvāris 27, 2022
Vienkārši liekot lietotājiem atcelt neaktīvos ierakstus pa vienam OpenSea vietnē, tas faktiski ļāva izmantotājiem veikt pirkumus citos neaktīvos sarakstos. Piemēram, Mutant Ape jahtkluba īpašnieks Swolfchan paturēja savu Ape savā galvenajā makā un atcēla 15 ETH neaktīvo sarakstu. Pēc tam viņi plānoja atcelt 6 ETH sarakstu.
Taču starplaikā, kas bija vajadzīgs, lai Swolfchan atceltu pirmo neaktīvo sarakstu un pārietu uz otro, izmantotājs iegādājās savu Ape par 6 ETH cenu.
Dingalings paskaidroja, ka, ja Svolfčans pārvietotu Ape uz citu maku, pēc tam atceltu visus sarakstus un pēc tam pārvietotu Ape atpakaļ uz galveno maku, viņi būtu bijuši drošībā. Taču šķiet, ka OpenSea sākotnējā e-pastā nesniedza šos norādījumus.
OpenSea līdzdibinātājs Alekss Atallahs 27. janvārī Dingalingam sacīja, ka "šīs problēmas novēršana ir mūsu uzņēmuma prioritāte. Mums ir komanda, kas pie tā strādā un tagad ievieš pretpasākumus.
Attiecībā uz to, kādi varētu būt šie risinājumi, Ledger CTO Charles Guillemet ir dažas idejas: "Citādāks dizains varēja izvairīties no šādas problēmas," viņš teica. Atšifrēt. Guillemet apgalvo, ka OpenSea lietotāja saskarnei vajadzēja būt lietotājiem skaidrākai. "NFT pārsūtīšana nedrīkst noņemt pārdošanas uzdevumu no lietotāja interfeisa," viņš teica.
Avots: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit