Η OpenSea έχει πλέον αποζημιώσει 750 Ethereum, περίπου $ 1.8 εκατομμύρια, σε χρήστες που κατά λάθος πούλησαν πολύτιμα NFT σε πολύ χαμηλότερη τιμή από την τρέχουσα αγορά μέσω μιας εκμετάλλευσης που περιλαμβάνει «ανενεργές καταχωρίσεις. "
Πρόσφατα, αρκετοί χρήστες του κορυφαίου NFT› Το marketplace είχε παραπονεθεί ότι τα blue chip NFT τους, όπως αυτά που ανήκουν στη συλλογή Bored Ape Yacht Club (BAYC), είχαν αγοραστεί σε παλιές, φθηνές τιμές. Αυτές οι καταχωρίσεις δεν ακυρώθηκαν ποτέ στο blockchain, παρόλο που η διεπαφή χρήστη στο OpenSea πρότεινε ότι είχαν ακυρωθεί.
Πως εγινε αυτο? Οι αγοραστές με γνώσεις τεχνολογίας χρησιμοποιούν υπηρεσίες όπως το Tornado Cash για να διοχετεύουν χρήματα σε διευθύνσεις πορτοφολιών κρυπτογράφησης χωρίς να αποκαλύπτουν την πηγή και χρησιμοποιούν αυτά τα κεφάλαια για να αγοράζουν NFT σε παλιές τιμές καταχώρισης.
Αυτή η εκμετάλλευση δεν είναι καινούργια. ο Ethereum Το blockchain απαιτεί από τους χρήστες να πληρώσουν ένα τέλος αερίου για την εκτέλεση συναλλαγών, συμπεριλαμβανομένης της ακύρωσης μιας καταχώρισης στο OpenSea που δεν έχει λήξει ακόμη. Αλλά προτού το OpenSea εφαρμόσει επιλέξιμες ημερομηνίες λήξης στις λίστες, πολλοί κάτοχοι NFT είχαν ανενεργές καταχωρίσεις που δεν είχαν ημερομηνία λήξης και, επομένως, απαιτούσαν μη αυτόματη ακύρωση μέσω μιας πληρωμής χρέωσης αερίου. Οι καταχωρίσεις που έχουν λήξει είναι εντάξει, αλλά οι ανενεργές καταχωρίσεις ενέχουν κίνδυνο.
Σε μια προσπάθεια να αποφευχθεί η πληρωμή τελών αερίου Ethereum, τα οποία συχνά μπορεί να ανέλθουν σε εκατοντάδες δολάρια για μία μόνο συναλλαγή, ορισμένοι ιδιοκτήτες NFT βρήκαν ένα κενό. Εάν μετέφεραν το NFT σε ένα δευτερεύον πορτοφόλι και μετά πίσω στο πρώτο πορτοφόλι, η καταχώριση εξαφανίστηκε στο OpenSea UI.
Αλλά στην πραγματικότητα, η καταχώριση είχε απλώς μετατραπεί από "ενεργή" σε "ανενεργή". Και οι ανενεργές καταχωρίσεις μπορούν ακόμα να αγοραστούν από ειδικούς του blockchain που αλληλεπιδρούν απευθείας με τα ίδια τα έξυπνα συμβόλαια, όχι με τη διεπαφή χρήστη του OpenSea.
Σε απάντηση, το OpenSea κυκλοφόρησε μια λειτουργία «ανενεργών καταχωρίσεων» στον ιστότοπό του για υπολογιστές Ιανουάριος 24. Δεν ανταποκρίθηκαν Αποκρυπτογράφησηπροηγούμενο αίτημα του για σχολιασμό.
Ορισμένοι κάτοχοι BAYC ενημερώθηκαν από το OpenSea νωρίτερα αυτή την εβδομάδα ότι θα τους επιστραφεί μέρος του Ethereum για την απώλεια τους. Ο Tballer, ο οποίος έχασε τον Ape #9991 για 0.77 ETH (περίπου 1,700 $), είπε Αποκρυπτογράφηση στις 25 Ιανουαρίου ότι ένιωθε ότι έλαβε μια «σχετικά αργή απάντηση» από το OpenSea, αλλά ήταν «ευτυχισμένος που με επέστρεψαν».
«Η κοινότητα [NFT] με βοήθησε σε αυτό», είπε ο Tballer Αποκρυπτογράφηση. «Το βράδυ που συνέβη, ήμουν πολύ κοντά στο να πάω σπίτι και να πουλήσω τα πάντα».
Ο πίθηκος του Tballer φαίνεται τώρα να ανήκει Χουάν Φντεζ, ο οποίος αγόρασε δύο από τους πίθηκους που πουλήθηκαν κατά λάθος. Το Fdez κατέχει επίσης το BAYC #8924, το οποίο είχε σαρωθεί για 6.66 ETH (περίπου 17,000 $). Ο Fdez δεν απάντησε ΑποκρυπτογράφησηΤο αίτημα για σχόλιο.
Εάν ο Tballer θέλει πίσω τον πίθηκο του, θα πρέπει να πληρώσει 130 ETH (330,000 $).
Στις 26 Ιανουαρίου, το OpenSea έστειλε ένα email στους ιδιοκτήτες NFT με ανενεργές καταχωρίσεις, λέγοντάς τους «να ενεργήσουν επειγόντως για να ακυρώσουν τυχόν ανενεργές καταχωρίσεις».
Αυτές οι οδηγίες προκάλεσαν ορισμένες ανησυχίες, όπως υποστήριξε ο συλλέκτης NFT Dingaling στο α μακρύ νήμα Twitter ότι το email ήταν «απίστευτα ανεύθυνο από την πλευρά τους και κάνει τα πράγματα 100 φορές χειρότερα. Αυτό στην πραγματικότητα κάνει το exploit πολύ πιο εύκολο στην εκτέλεση».
1/ ΠΡΟΕΙΔΟΠΟΙΗΣΗ: ΜΗΝ ΑΚΥΡΩΣΕΤΕ ΤΙΣ ΛΙΣΤΕΣ ΤΟΥ ΛΣ ΣΑΣ ΟΠΩΣ ΔΗΛΩΣΕΤΕ ΣΤΟ EMAIL ΠΟΥ ΜΟΛΙΣ ΕΣΤΕΙΛΕ η OPENSEA;
Μεταφέρετε ΠΡΩΤΑ το NFT σας σε διαφορετική διεύθυνση και ακυρώστε την/τις καταχωρίσεις στην αρχική διεύθυνση ΠΡΙΝ την στείλετε πίσω
Το λειτουργικό σύστημα απλώς έβαλε τους πάντες σε ακόμη μεγαλύτερο κίνδυνο από πριν;
— dingaling (@dingalingts) Ιανουάριος 27, 2022
Λέγοντας απλώς στους χρήστες να ακυρώσουν τις ανενεργές καταχωρίσεις μία προς μία στον ιστότοπο του OpenSea, στην πραγματικότητα επέτρεψε στους εκμεταλλευτές να πραγματοποιήσουν αγορές σε άλλες ανενεργές καταχωρίσεις. Για παράδειγμα, ο κάτοχος του Mutant Ape Yacht Club Swolfchan κράτησε τον πίθηκο του στο κύριο πορτοφόλι του και ακύρωσε μια ανενεργή καταχώριση 15 ETH. Μετά από αυτό, σχεδίαζαν να ακυρώσουν μια καταχώριση 6 ETH.
Αλλά στο μεταξύ του χρόνου που χρειάστηκε ο Swolfchan για να ακυρώσει την πρώτη ανενεργή καταχώριση και να προχωρήσει στη δεύτερη, ένας εκμεταλλευτής αγόρασε τον Ape του στην τιμή των 6 ETH.
Ο Dingaling εξήγησε ότι εάν ο Swolfchan μετέφερε τον Ape σε άλλο πορτοφόλι, στη συνέχεια ακύρωσε όλες τις καταχωρίσεις και μετά μετέφερε τον Ape πίσω στο κύριο πορτοφόλι, θα ήταν ασφαλείς. Αλλά το OpenSea δεν φάνηκε να παρέχει αυτές τις οδηγίες στο αρχικό του email.
Συνιδρυτής του OpenSea Άλεξ Ατάλα είπε στο Dingaling στις 27 Ιανουαρίου ότι «η διόρθωση αυτού του προβλήματος είναι η #1 προτεραιότητά της εταιρείας μας. Έχουμε μια ομάδα που εργάζεται πάνω σε αυτό και βάζει ένα αντίμετρο τώρα».
Όσο για το ποιες θα μπορούσαν να είναι αυτές οι λύσεις, ο CTO του Ledger Charles Guillemet έχει μερικές ιδέες: «Ένα διαφορετικό σχέδιο θα μπορούσε να είχε αποφύγει ένα τέτοιο ζήτημα», είπε. Αποκρυπτογράφηση. Ο Guillemet υποστηρίζει ότι η διεπαφή χρήστη στο OpenSea θα έπρεπε να ήταν πιο σαφής για τους χρήστες. «Η μεταφορά του NFT δεν θα πρέπει να αφαιρέσει την εντολή πώλησης από τη διεπαφή χρήστη», είπε.
Πηγή: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit