Οι απατεώνες φαίνεται να εκμεταλλεύονται ένα σφάλμα του OpenSea για να αγοράσουν πολύτιμα NFT σε πολύ φθηνότερη τιμή από την τρέχουσα καταχώρισή τους.
Αρκετοί ερευνητές και προγραμματιστές έχουν αναφέρει λεπτομερώς το συνεχιζόμενο πρόβλημα, με κάποιους να υποστηρίζουν ότι συγκεκριμένα NFT αξίας εκατοντάδων χιλιάδων δολαρίων έχουν κλαπεί εκμεταλλευόμενοι το σφάλμα της πλατφόρμας.
Το OpenSea Bug ανοίγει την πλατφόρμα για χακάρισμα
Σύμφωνα με αναφορές, ένα σφάλμα στο μπροστινό μέρος της εξέχουσας αγοράς μη ανταλλάξιμων διακριτικών (NFT) OpenSea οδήγησε σε ένα exploit που επιτρέπει στους χρήστες να αποκτούν δημοφιλή NFT στην προηγούμενη τιμή καταχώρισής τους.
Το ζήτημα φαίνεται να επικρατεί με τα συλλεκτικά αντικείμενα Bored Ape Yacht Club (BAYC) και Mutant Ape Yacht Club (MAYC) NFT, όπου ο εκμεταλλευτής μπόρεσε να τα αγοράσει στην αρχική τους τιμή καταχώρισης και στη συνέχεια να τα πουλήσει στην τρέχουσα τιμή αγοράς. Οι BAYC #9991, BAYC #8924 και MAYC #4986 είναι μεταξύ των NFT που επηρεάζονται.
Το hack αποκαλύφθηκε αφού ο συλλέκτης NFT "TBALLER" ανάρτησε στο Twitter ότι το σπάνιο Bored Ape #9991 πούλησε για ένα ασήμαντο ποσό των,77 ETH, ή 1,775 $ νωρίς το πρωί της Δευτέρας.
ρε παιδιά! Δεν ξέρω τι ακριβώς συνέβη γιατί ο πίθηκος μου πούλησε για 77?????
— TBALLER.eth (@T_BALLER6) Ιανουάριος 24, 2022
Ο αγοραστής, ο οποίος λέει "jpegdegenlove", γύρισε τον πίθηκο NFT σχεδόν αμέσως για 84.2 ETH, ή περίπου 200,000 $. Ο χρήστης μπόρεσε να γυρίσει περίπου 332ETH (754,000 $).
Υπόλοιπο πορτοφολιού Ether που αναφέρθηκε εκμεταλλευτής Πηγή: Etherscan
Το PekShieldAlert - το δημοφιλές ρομπότ ειδοποιήσεων σε πραγματικό χρόνο της εταιρείας ασφαλείας PeckShield - ειδοποίησε για ένα ελάττωμα στο front-end του OpenSea νωρίτερα σήμερα, σημειώνοντας ότι οι υπό εκμετάλλευση είχαν ήδη λάβει 332 ETH αξίας περίπου 750 $ εκείνη την εποχή.
Φαίνεται ότι @ανοιχτή θάλασσα έχει πρόβλημα με το front-end και ο εκμεταλλευτής κέρδισε περίπου 332 Etherhttps://t.co/35kCB1n7nv
—PeckShieldAlert (@PeckShieldAlert) Ιανουάριος 24, 2022
Σύμφωνα με την εταιρεία ανάλυσης κρυπτονομισμάτων Elliptic, στο leaOpenSeast τρεις εισβολείς αγόρασαν NFT με συνολική αξία αγοράς λίγο μεγαλύτερη από 1 εκατομμύριο δολάρια, χρησιμοποιώντας την αδυναμία από το πρωί της Δευτέρας. «Εκμεταλλευόμενος αυτό το ελάττωμα, ένας εισβολέας πλήρωσε σήμερα συνολικά 133,000 $ για επτά NFTs — πριν τα πουλήσει γρήγορα για 934,000 $», έγραψε το blog της εταιρείας.
Σε Twitter νήμα, ο Rotem Yakir, προγραμματιστής στην αποκεντρωμένη επιχείρηση χρημάτων Orbs.com, εξήγησε την ευπάθεια. Οι άνθρωποι που έβαλαν ξανά στη λίστα τα NFT τους χωρίς να τα ακυρώσουν και στη συνέχεια τα πούλησαν σε υψηλότερη τιμή θα μπορούσαν να τα αγοράσουν σε φθηνότερη τιμή λόγω του σφάλματος, σύμφωνα με τον Yakir.
Νωρίτερα σήμερα, ο ερευνητής ασφαλείας Tal Be'ery επιβεβαίωσε την ανακάλυψη του Elliptic και του Yakir από εμφάνιση δεδομένων από το blockchain Ethereum επιβεβαιώνοντας ότι το Bored Ape Yacht Club #8274 αγοράστηκε τον Ιούλιο για 50,500 $ (22.9 ETH) και μεταπωλήθηκε για περίπου 296,000 $. (130 ETH).
Σχετικό άρθρο | Τι πήγε στραβά στο Hack του Crypto.com (CRO); Οι ειδικοί ζυγίζουν
Αυτό το Exploit δεν είναι νέο
Ένα προηγούμενο exploit στις 31 Δεκεμβρίου ήταν μάρτυρας ενός παρόμοιου σεναρίου, στο οποίο φαινόταν ότι ένα πρόβλημα προέρχεται από τη μεταφορά περιουσιακών στοιχείων από το πορτοφόλι OpenSea σε ένα ξεχωριστό πορτοφόλι χωρίς να ακυρωθεί η καταχώριση.
Σύμφωνα με έναν χρήστη, εάν κάποιος που χρησιμοποιεί το OpenSea έθετε προς πώληση ένα NFT και αργότερα αποφασίσει ότι δεν θέλει αυτή η διαφήμιση να παραμείνει ενεργή, η πλατφόρμα θα χρεώσει για την αφαίρεσή της. Αυτό, ωστόσο, μπορεί να είναι ακριβό, επομένως οι χρήστες επινόησαν μια λύση όπου μετέφεραν το NFT σε άλλο πορτοφόλι, ακυρώνοντας έτσι την καταχώριση.
1/ Πρόσφατα υπήρξε ένα @ανοιχτή θάλασσα εκμετάλλευση που επέτρεψε την αγορά περιουσιακών στοιχείων σε πολύ μειωμένες τιμές, συμπεριλαμβανομένων 3 καρτών φρέσκων σταγόνων, ενός BAYC https://t.co/8pEgeXkOBo, πολλαπλών MAYC και άλλων. Έκανα κάποια έρευνα σήμερα το πρωί και ιδού τι συμβαίνει -> α ??
— καπ10καδ.ΞΘ | freshdrops.io (@cap10bad) Δεκέμβριος 31, 2021
Το OpenSea δεν ασχολήθηκε με το ζήτημα όταν αναφέρθηκε.
Σχετικό άρθρο | Το BitMart αφήνει τους χρήστες να διαβάζουν ως θύματα πειρατείας περιμένουν επιστροφές χρημάτων
Οι χρήστες μπορούν να δουν εάν η καταχώρισή τους έχει αφαιρεθεί από το Rarible, μια άλλη αγορά NFT που χρησιμοποιεί το API του OpenSea. Σύμφωνα με τον χρήστη, το ελάττωμα αναφέρθηκε μετά το περιστατικό του Δεκεμβρίου, αλλά δεν έγινε καμία ενέργεια για την επίλυσή του.
Το ETH/USD βρίσκεται πάνω από 2,400 $. Πηγή: TradingView
Αξίζει να σημειωθεί ότι αυτό το πρόβλημα προέκυψε ως αποτέλεσμα της επιδιωκόμενης σχεδίασης του OpenSea, μιας κεντρικής υπηρεσίας που χρησιμοποιεί αποκεντρωμένα νομίσματα. Είναι δύσκολο να το κατατάξουμε αυτό ως hack ή ακόμα και bug. Η OpenSea ενημερώνει τους καταναλωτές ότι έτσι λειτουργεί η υπηρεσία της, η οποία έχει οδηγήσει σε πολυάριθμες απάτες. Το σφάλμα του OpenSea δείχνει ότι είναι μια ατημέλητη αγορά και εάν οι χρήστες δεν είναι προσεκτικοί να ακολουθήσουν τις σωστές πρακτικές, ενδέχεται να εκμεταλλευτούν πιο έμπειρους χρήστες.
Το εάν το σφάλμα OpenSea αντιμετωπίζεται ως ελάττωμα ανοικτής ασφάλειας ή ως αποτέλεσμα σφάλματος χρήστη δεν είναι επί του παρόντος ασαφές.
Επιλεγμένη εικόνα από το Unsplash, γράφημα από το TradingView.com και το Etherscan
Πηγή: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/