OpenSea kļūda izraisa milzīgus NFT zudumus

Hakeri izmantoja OpenSea platformā esošo kļūdu, lai iegādātos vairākus NFT vairāk nekā miljona dolāru vērtībā ar krasām sešciparu atlaidēm. 

Eliptisks ziņo par NFT zudumu OpenSea

Uzlaušanas mērķis bija NFT vairākos makos, kur uzbrucēji varēja tos iegādāties par iepriekš norādītajām cenām, neizsakot to īpašniekiem. OpenSea vēl nesniedz komentāru vai paziņojumu par uzbrukumu, ko pirmo reizi pamanīja un ziņoja blokķēdes analīzes uzņēmums Elliptic. 

Saskaņā ar vadošo zinātnieku un Elliptic līdzdibinātāju Tomu Robinsonu

“Šķiet, ka izmantošana ir saistīta ar to, ka iepriekš bija iespējams atkārtoti iekļaut NFT sarakstā par jaunu cenu, neatceļot iepriekšējo sarakstu. Šie vecie saraksti tagad tiek izmantoti, lai iegādātos NFT par cenām, kas norādītas pagātnē — bieži vien krietni zem pašreizējām tirgus cenām.

Kļūda tiek izmantota, lai sagrābtu NFT

Viens no NFT, kas nozagts, izmantojot šo kļūdu, bija Bored Ape #9991 no populārās Bored Ape jahtkluba kolekcijas. NFT tika nopirkts par 0.77 ETH (apmēram 1747 USD), kas ir krasi zema Bored Ape NFT cena, ko parasti pārdod par simtiem tūkstošu dolāru. Tomēr īpašnieks pārdošanas brīdī nezināja, ka NFT ir kotēts par tik zemu summu. Drīz pēc tam tas pats NFT tika pārdots par 84.2 ETH (aptuveni 189,040 187,000 ASV dolāri), kas veido ievērojamu peļņu vairāk nekā XNUMX XNUMX ASV dolāru apmērā. 

Izpilddirektors Robinsons ir norādījis, ka kopumā astoņi NFT ir nozagti šādā veidā. Sākotnējie maki bija dažādi, savukārt kopējais uzbrucēju maki bija tikai trīs. Cits uzbrucēja maciņš varēja iegādāties septiņus NFT par USD 133,000 23, bet trešais iegādājās vēl vienu Bored Ape NFT par niecīgām XNUMX ETH. 

Kā šī kļūda tiek izveidota? 

Programmatūras izstrādātājs Rotem Yakir savā Twitter pavedienā ir apkopojis, kā kļūda tika radīta no neatbilstības starp NFT viedajos līgumos pieejamo informāciju un OpenSea lietotāja interfeisa sniegto informāciju. Galu galā šī kļūda ļauj uzbrucējiem piekļūt vecām līguma cenām, kas joprojām pastāv blokķēdē, bet ir bloķētas, lai tās nevarētu redzēt lietojumprogrammā OpenSea. Potenciālie pircēji vietnē OpenSea izsaka cenu par redzamo "saraksta cenu", ko noteicis NFT īpašnieks. Kad pircējs pieņem mazumtirdzniecības cenu, NFT īpašumtiesības tiek automātiski nodotas viņam. 

Kļūda rodas, ja īpašnieki vēlas atkārtoti iekļaut savus NFT par augstāku cenu, bet nevēlas maksāt gāzes nodevas, lai atceltu pirmo sarakstu. Tā vietā viņi pārsūta NFT uz citu maku un pēc tam atpakaļ uz sākotnējo maku. To darot, ieraksts tiek noņemts no OpenSea priekšgala. Tomēr sākotnējais saraksts paliek aktīvs blokķēdē, un to var atrast, izmantojot OpenSea API. 

Interesanti atzīmēt, ka šī kļūda tika atklāta jau 2021. gada decembrī. Turklāt pat 2022. gada janvārī Twitter pavediens atklāja NFT piespiedu pārdošanu, izmantojot šo metodi. Tomēr OpenSea tajā laikā neveica nekādas preventīvas darbības.

Atruna: Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridisku, nodokļu, ieguldījumu, finanšu vai citu padomu.