Čini se da prevaranti iskorištavaju OpenSea grešku kako bi kupili vrijedne NFT-ove po znatno nižoj cijeni od njihove trenutne liste.
Nekoliko istraživača i programera detaljno je opisali tekući problem, a neki tvrde da su specifični NFT-ovi vrijedni stotine hiljada dolara ukradeni iskorištavanjem greške platforme.
OpenSea Bug otvara platformu za hakiranje
Prema izvještajima, greška u prednjem dijelu istaknutog non-fungible token (NFT) tržišta OpenSea rezultirala je eksploatacijom koja omogućava korisnicima da nabave popularne NFT-ove po njihovoj prethodnoj kotaciji.
Čini se da problem preovlađuje u kolekcionarskim predmetima Bored Ape Yacht Club (BAYC) i Mutant Ape Yacht Club (MAYC) (MAYC), gdje ih je eksploatator mogao kupiti po njihovoj originalnoj prodajnoj cijeni, a zatim ih prodati po trenutnoj tržišnoj cijeni. BAYC #9991, BAYC #8924 i MAYC #4986 su među pogođenim NFT-ovima.
Hak je otkriven nakon što je NFT kolekcionar “TBALLER” objavio na Tviteru da je njihov rijedak Bored Ape #9991 prodat za bagatelu od 77 ETH, ili 1,775 dolara u ponedjeljak rano ujutro.
Yooo momci! Idk šta se upravo dogodilo zašto se moj majmun upravo prodao za .77?????
— TBALLER.eth (@T_BALLER6) Januar 24, 2022
Kupac, koji se naziva "jpegdegenlove", je skoro odmah okrenuo majmuna NFT za 84.2 ETH, ili otprilike 200,000 dolara. Korisnik je uspio okrenuti oko 332ETH (754,000$).
Prijavljeni eksploatator saldo novčanika Ether Izvor: Etherscan
PekShieldAlert – bot za upozorenja u realnom vremenu popularne sigurnosne firme PeckShield – ranije danas je upozorio na propust na front-endu OpenSea, uz napomenu da je eksploatirani već dobio 332 ETH u vrijednosti od oko 750 dolara u to vrijeme.
Izgleda to @opensea ima problem sa front-endom i eksploatator je dobio oko 332 Ether https://t.co/35kCB1n7nv
— PeckShieldAlert (@PeckShieldAlert) Januar 24, 2022
Prema firmi za analizu kriptovaluta Elliptic, na leaOpenSeast tri napadača su kupila NFT-ove ukupne tržišne vrijednosti nešto više od milion dolara, koristeći slabost od ponedjeljka ujutro. „Iskoristivši ovu grešku, jedan napadač je danas platio ukupno 1 dolara za sedam NFT-ova — prije nego što ih je brzo prodao za 133,000 dolara“, piše na blogu kompanije.
U Twitter thread, Rotem Yakir, programer u poslovanju za decentralizirani novac Orbs.com, objasnio je ranjivost. Ljudi koji su ponovo stavili svoje NFT-ove na listu a da ih nisu otkazali, a zatim ih prodali po višoj cijeni, mogli su ih kupiti po nižoj cijeni kroz grešku, kaže Yakir.
Ranije danas, istraživač sigurnosti Tal Be'ery potvrdio je Elliptic i Yakirovo otkriće od prikazivanje podataka iz Ethereum blockchaina koji potvrđuje da je Bored Ape Yacht Club #8274 kupljen u julu za 50,500 USD (22.9 ETH) i preprodan za oko 296,000 USD. (130 ETH).
Povezani članak | Šta je pošlo po zlu u Crypto.com (CRO) haku? Stručnjaci vagaju
Ovaj eksploat nije nov
Raniji eksploatacija 31. decembra svjedočila je sličnom scenariju, u kojem se činilo da problem dolazi od prijenosa sredstava iz OpenSea novčanika u poseban novčanik bez otkazivanja listinga.
Prema jednom korisniku, ako neko koristi OpenSea stavi NFT na prodaju i kasnije odluči da ne želi da taj oglas ostane aktivan, platforma bi naplatila njegovo uklanjanje. Ovo, međutim, može biti skupo, stoga su korisnici smislili zaobilazno rješenje gdje su prebacili NFT u drugi novčanik, čime su otkazali listing.
1/ Nedavno je došlo do @opensea exploit koji je omogućio kupovinu imovine po znatno sniženim cijenama, uključujući 3 propusnice za svježe kapi, BAYC https://t.co/8pEgeXkOBo, više MAYC-a i još mnogo toga. Jutros sam malo istraživao i evo šta se dešava -> a ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) Decembar 31, 2021
OpenSea nije riješio problem kada je prijavljen.
Povezani članak | BitMart ostavlja korisnike na čitanje jer žrtve hakovanja čekaju povrat novca
Korisnici mogu vidjeti da li je njihov listing uklonjen sa Rarible-a, drugog NFT tržišta koje koristi OpenSea API. Prema riječima korisnika, kvar je prijavljen nakon decembarske pojave, ali ništa nije preduzeto da se on otkloni.
ETH/USD se kreće iznad 2,400 dolara. Izvor: TradingView
Vrijedi napomenuti da je ovaj problem nastao kao rezultat planiranog dizajna OpenSea, centralizirane usluge koja koristi decentralizirane kovanice. Teško je ovo klasifikovati kao hak ili čak grešku. OpenSea obavještava potrošače da na taj način funkcionira njegova usluga, što je rezultiralo brojnim prijevarama. Greška u OpenSea-u pokazuje da je to traljavo tržište, i ako korisnici nisu oprezni da slijede odgovarajuću praksu, oni bi mogli biti iskorišteni od strane pametnijih korisnika.
Trenutno je nejasno da li se greška OpenSea tretira kao otvoreni sigurnosni propust ili je rezultat greške korisnika.
Istaknuta slika sa Unsplash-a, grafikona sa TradingView.com i Etherscan-a
Izvor: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/