OpenSea возместила 750 Ethereum, около $ 1.8 миллионов, пользователям, которые случайно продали ценные NFT по значительно более низкой рыночной цене с помощью эксплойта, включающего «неактивные объявления".
В последнее время несколько пользователей ведущего NFTМаркетплейс пожаловался, что их голубые фишки NFT, такие как те, что принадлежат коллекции яхт-клуба Bored Ape (BAYC), были куплены по старым, дешевым листинговым ценам. Эти списки никогда не отменялись в блокчейне, хотя пользовательский интерфейс OpenSea предполагал, что это произошло.
Как это произошло? Технически подкованные покупатели используют такие сервисы, как Tornado Cash, для направления денег на адреса криптовалютных кошельков без раскрытия источника и использования этих средств для покупки NFT по старым листинговым ценам.
Этот эксплойт не нов. То Эфириум Блокчейн требует, чтобы пользователи платили за газ для выполнения транзакций, включая отмену листинга на OpenSea, срок действия которого еще не истек. Но до того, как OpenSea внедрила выбираемые даты истечения срока действия для списков, у многих держателей NFT были неактивные списки, у которых не было даты истечения срока действия, и поэтому требовалось ручное аннулирование с помощью платного сбора за газ. Просроченные списки — это хорошо, но неактивные списки представляют риск.
Стремясь избежать уплаты комиссий за газ Ethereum, которые часто могут достигать сотен долларов за одну транзакцию, некоторые владельцы NFT нашли лазейку. Если они переводили NFT во второй кошелек, а затем обратно в первый кошелек, листинг исчезал в пользовательском интерфейсе OpenSea.
Но на самом деле листинг просто перешел из «активного» в «неактивный». И неактивные списки по-прежнему могут быть приобретены экспертами по блокчейну, которые напрямую взаимодействуют с самими смарт-контрактами, а не с пользовательским интерфейсом OpenSea.
В ответ OpenSea развернула функцию «неактивные списки» на своем настольном сайте. Январь 24г.. Они не ответили на Decryptпредыдущий запрос на комментарий.
Ранее на этой неделе OpenSea сообщила некоторым держателям BAYC, что им будет возмещена часть Ethereum за их потерю. Tballer, который проиграл Ape #9991 за 0.77 ETH (около $1,700), рассказал Decrypt 25 января он почувствовал, что получил «довольно медленный ответ» от OpenSea, но был «счастлив, что мне ответили».
«Сообщество [NFT] помогло мне в этом», — сказал Тбаллер. Decrypt. «В ту ночь, когда это случилось, я был близок к тому, чтобы пойти домой и продать все».
Обезьяна Тбаллера теперь кажется принадлежащей Хуан Фдес, который купил двух Обезьян, которые были случайно проданы. Fdez также владеет BAYC #8924, который был украден за 6.66 ETH (около 17,000 XNUMX долларов США). Fdez не ответил на Decryptзапрос на комментарий.
Если Tballer захочет вернуть свою Ape, ему придется заплатить 130 ETH (330,000 XNUMX долларов).
26 января OpenSea разослала владельцам NFT электронное письмо с неактивными листингами, в котором им было сказано: «Пожалуйста, примите срочные меры, чтобы отменить все неактивные листинги».
Эти инструкции вызвали некоторые опасения, как утверждал Дингалинг, коллекционер NFT. длинная ветка в твиттере что электронное письмо было «невероятно безответственным с их стороны и делает ситуацию в 100 раз хуже. На самом деле это значительно упрощает выполнение эксплойта».
1/ ВНИМАНИЕ: НЕ ОТМЕНЯЙТЕ СПИСКИ СВОИХ ОС, КАК УКАЗАНО В ЭЛЕКТРОННОМ ПИСЬМЕ, КОТОРЫЙ OPENSEA ТОЛЬКО ОТПРАВИЛ??
Пожалуйста, СНАЧАЛА перенесите свой NFT на другой адрес и отмените листинги на исходном адресе ПЕРЕД отправкой его обратно.
ОС просто подвергает всех еще большему риску, чем раньше?
— дингалинг (@dingalingts) 27 января 2022
Просто предлагая пользователям отменять неактивные списки один за другим на веб-сайте OpenSea, это фактически позволяло эксплуататорам совершать покупки в других неактивных списках. Например, владелец яхт-клуба Mutant Ape Swolfchan оставил Ape в своем основном кошельке и отменил неактивный листинг на 15 ETH. После этого они планировали отменить листинг 6 ETH.
Но в промежутке времени, которое потребовалось Swolfchan, чтобы отменить первый неактивный листинг и перейти ко второму, эксплуататор купил их Ape по цене 6 ETH.
Дингалинг объяснил, что если бы Swolfchan перевел Ape на другой кошелек, затем отменил все списки, а затем переместил Ape обратно в основной кошелек, они были бы в безопасности. Но OpenSea, похоже, не предоставила эти инструкции в своем первоначальном электронном письме.
соучредитель OpenSea Алекс Аталлах сказал Дингалинг 27 января, что «решение этой проблемы является приоритетом нашей компании №1. У нас есть команда, которая работает над этим и сейчас принимает контрмеры».
Что касается того, какими могут быть эти решения, у технического директора Ledger Шарля Гийеме есть несколько идей: «Другой дизайн мог бы избежать такой проблемы», — сказал он. Decrypt. Гиллеме утверждает, что пользовательский интерфейс OpenSea должен был быть более понятным для пользователей. «Перенос NFT не должен удалять ордер на продажу из пользовательского интерфейса», — сказал он.
Источник: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit.