Мошенники, похоже, пользуются ошибкой OpenSea, чтобы покупать ценные NFT по значительно более низкой цене, чем их текущий листинг.
Несколько исследователей и разработчиков подробно описали текущую проблему, а некоторые утверждают, что конкретные NFT стоимостью в сотни тысяч долларов были украдены с помощью ошибки платформы.
Ошибка OpenSea открывает платформу для взлома
Согласно сообщениям, сбой во внешнем интерфейсе известного рынка невзаимозаменяемых токенов (NFT) OpenSea привел к эксплойту, который позволяет пользователям приобретать популярные NFT по их предыдущей цене листинга.
Проблема, по-видимому, распространена с предметами коллекционирования NFT Bored Ape Yacht Club (BAYC) и Mutant Ape Yacht Club (MAYC), где эксплуататор мог купить их по первоначальной цене, а затем продать по текущей рыночной цене. BAYC № 9991, BAYC № 8924 и MAYC № 4986 входят в число затронутых NFT.
О взломе стало известно после того, как коллекционер NFT «TBALLER» написал в Твиттере, что их редкая Bored Ape #9991 была продана за гроши 77 ETH или 1,775 долларов рано утром в понедельник.
Йоу, ребята! Не знаю, что только что произошло, почему мою обезьяну только что продали за 77?????
— TBALLER.eth (@T_BALLER6) 24 января 2022
Покупатель, известный как jpegdegenlove, почти сразу же продал NFT за 84.2 ETH, или примерно 200,000 332 долларов. Пользователь смог обменять около 754,000 ETH (XNUMX XNUMX долларов США).
Баланс кошелька эфира, о котором сообщалось, использовался эксплуататорами. Источник: Etherscan.
PekShieldAlert — бот оповещений в режиме реального времени популярной фирмы по безопасности PeckShield — сегодня утром предупредил об уязвимости во внешнем интерфейсе OpenSea, отметив, что на тот момент злоумышленник уже получил 332 ETH на сумму около 750 тысяч долларов.
Похоже, что @открытое море имеет проблемы с внешним интерфейсом, и эксплуататор получил около 332 Etherhttps://t.co/35kCB1n7nv
- PeckShieldAlert (@PeckShieldAlert) 24 января 2022
По данным компании Elliptic, занимающейся анализом криптовалют, на leaOpenSeast трое злоумышленников приобрели NFT с общей рыночной стоимостью чуть более 1 миллиона долларов, используя слабость с утра понедельника. «Используя эту уязвимость, один злоумышленник сегодня заплатил в общей сложности 133,000 934,000 долларов за семь NFT, прежде чем быстро продать их за XNUMX XNUMX долларов», — говорится в блоге фирмы.
В Тема Twitter, Ротем Якир, разработчик децентрализованного денежного бизнеса Orbs.com, объяснил уязвимость. По словам Якира, люди, которые повторно разместили свои NFT, не отменяя их, а затем продали их по более высокой цене, могли купить их по более низкой цене из-за сбоя.
Ранее сегодня исследователь безопасности Тал Бери подтвердил открытие Elliptic и Якира. отображение данных из блокчейна Ethereum, подтверждающего, что яхт-клуб Bored Ape #8274 был куплен в июле за 50,500 22.9 долларов (296,000 ETH) и перепродан примерно за 130 XNUMX долларов. (XNUMX эфиров).
Связанная статья | Что пошло не так во взломе Crypto.com (CRO)? Эксперты взвешивают
Этот эксплойт не нов
Более ранний эксплойт от 31 декабря был свидетелем аналогичного сценария, в котором проблема возникла из-за перевода активов из кошелька OpenSea в отдельный кошелек без отмены листинга.
По словам одного пользователя, если кто-то, использующий OpenSea, выставит NFT на продажу, а позже решит, что не хочет, чтобы это объявление оставалось активным, платформа будет взимать плату за его удаление. Это, однако, может быть дорогостоящим, поэтому пользователи придумали обходной путь, когда они переводили NFT в другой кошелек, тем самым отменяя листинг.
1/ Недавно был @открытое море эксплойт, позволяющий приобретать активы по значительно сниженным ценам, в том числе 3 прохода Freshdrops, BAYC https://t.co/8pEgeXkOBo, несколько MAYC и многое другое. Сегодня утром я провел небольшое исследование, и вот что происходит -> a ??
— cap10bad.ΞTH | Freshdrops.io (@cap10bad) 31 декабря 2021
OpenSea не устранила проблему, когда о ней сообщили.
Связанная статья | BitMart оставляет пользователей в недоумении, так как жертвы взлома ждут возмещения
Пользователи могут увидеть, был ли их листинг удален с Rarible, еще одной торговой площадки NFT, которая использует API OpenSea. По словам пользователя, о уязвимости сообщили после декабрьского происшествия, но никаких действий по ее устранению предпринято не было.
ETH/USD колеблется выше 2,400 долларов. Источник: TradingView
Стоит отметить, что эта проблема возникла в результате задуманного дизайна OpenSea, централизованного сервиса, использующего децентрализованные монеты. Трудно назвать это взломом или даже ошибкой. OpenSea сообщает потребителям, что именно так работает их сервис, что привело к многочисленным мошенничествам. Ошибка OpenSea показывает, что это неаккуратный рынок, и если пользователи не будут соблюдать надлежащие правила, ими могут воспользоваться более опытные пользователи.
В настоящее время неясно, рассматривается ли ошибка OpenSea как открытый недостаток безопасности или как результат ошибки пользователя.
Избранное изображение с Unsplash, график с TradingView.com и Etherscan
Источник: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/