Svindlere ser ut til å utnytte en OpenSea-feil for å kjøpe verdifulle NFT-er til en betydelig billigere pris enn deres nåværende oppføring.
Flere forskere og utviklere har detaljert det pågående problemet, med noen som hevder at spesifikke NFT-er verdt hundretusenvis av dollar har blitt stjålet ved å utnytte plattformens feil.
OpenSea Bug åpner plattform for å hacke
I følge rapporter har en feil i frontenden av prominent nonfungible token (NFT)-markedsplassen OpenSea resultert i en utnyttelse som lar brukere anskaffe populære NFT-er til deres tidligere noteringspris.
Problemet ser ut til å være utbredt med Bored Ape Yacht Club (BAYC) og Mutant Ape Yacht Club (MAYC) NFT-samlerobjekter, hvor utnytteren var i stand til å kjøpe dem for sin opprinnelige noteringspris og deretter selge dem for gjeldende markedspris. BAYC #9991, BAYC #8924 og MAYC #4986 er blant de berørte NFT-ene.
Hacket ble brakt frem etter at NFT-samleren «TBALLER» twitret at deres sjeldne Bored Ape #9991 solgte for en slant på,77 ETH, eller $1,775 tidlig mandag morgen.
Yooo folkens! Idk hva skjedde med hvorfor solgte apen min bare for 77?????
— TBALLER.eth (@T_BALLER6) Januar 24, 2022
Kjøperen, som går etter «jpegdegenlove», snudde apen NFT nesten umiddelbart for 84.2 ETH, eller omtrent $200,000 332. Brukeren har vært i stand til å snu rundt 754,000ETH ($XNUMX XNUMX).
Rapportert utnytter Ether lommeboksaldo Kilde: Etherscan
PekShieldAlert – det populære sikkerhetsfirmaet PeckShields sanntidsvarslingsrobot – varslet om en OpenSea frontend-feil tidligere i dag, og la merke til at den utnyttede allerede hadde oppnådd 332 ETH verdt rundt $750K på den tiden.
Det ser ut som @åpent hav har et frontend-problem og utnytteren fikk omtrent 332 Etherhttps://t.co/35kCB1n7nv
—PeckShieldAlert (@PeckShieldAlert) Januar 24, 2022
I følge kryptovalutaanalysefirmaet Elliptic har tre angripere på leaOpenSeast kjøpt NFT-er med en total markedsverdi på litt over 1 million dollar ved å utnytte svakheten siden mandag morgen. "Ved å utnytte denne feilen betalte en angriper i dag totalt $133,000 934,000 for syv NFT-er – før de raskt solgte dem videre for $XNUMX XNUMX," står det i firmaets blogg.
I en Twitter-tråden, Rotem Yakir, en utvikler ved den desentraliserte pengevirksomheten Orbs.com, forklarte sårbarheten. Folk som renoterte NFT-ene sine uten å kansellere dem og deretter solgte dem til en høyere pris, kunne få dem kjøpt til en billigere pris gjennom feilen, ifølge Yakir.
Tidligere i dag bekreftet sikkerhetsforsker Tal Be'ery Elliptic og Yakirs oppdagelse av viser data fra Ethereum blockchain som bekrefter at Bored Ape Yacht Club #8274 ble kjøpt i juli for $50,500 22.9 (296,000 ETH) og videresolgt for rundt $130 XNUMX. (XNUMX ETH).
Beslektet artikkel | Hva gikk galt i Hacket Crypto.com (CRO)? Eksperter veier inn
Denne utnyttelsen er ikke ny
En tidligere utnyttelse 31. desember var vitne til et lignende scenario, der et problem så ut til å komme fra overføring av eiendeler fra OpenSea-lommeboken til en separat lommebok uten at oppføringen ble kansellert.
Ifølge en bruker, hvis noen som bruker OpenSea legger en NFT for salg og senere bestemte seg for at de ikke ville at annonsen skulle forbli aktiv, ville plattformen ta betalt for fjerningen. Dette kan imidlertid være kostbart, derfor utviklet brukere en løsning der de overførte NFT til en annen lommebok, og dermed kansellerte oppføringen.
1/ Nylig har det vært en @åpent hav utnyttelse som har gjort det mulig å kjøpe eiendeler til sterkt rabatterte priser, inkludert 3 freshdrops-pass, en BAYC https://t.co/8pEgeXkOBo, flere MAYC-er og mer. Jeg gjorde noen undersøkelser i morges, og her er hva som skjer -> en ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) Desember 31, 2021
OpenSea tok ikke opp problemet da det ble rapportert.
Beslektet artikkel | BitMart lar brukere leses som ofre for hack og venter på refusjoner
Brukere kan se om oppføringen deres er fjernet fra Rarible, en annen NFT-markedsplass som bruker OpenSeas API. Ifølge brukeren ble feilen rapportert etter hendelsen i desember, men ingen tiltak ble iverksatt for å løse den.
ETH/USD svever over $2,400. Kilde: TradingView
Det er verdt å merke seg at dette problemet oppsto som et resultat av den tiltenkte utformingen av OpenSea, en sentralisert tjeneste som bruker desentraliserte mynter. Det er vanskelig å klassifisere dette som et hack eller til og med en feil. OpenSea informerer forbrukerne om at det er slik tjenesten fungerer, noe som har resultert i en rekke svindel. OpenSea-feilen viser at det er en slurvete markedsplass, og hvis brukere ikke er forsiktige med å følge riktig praksis, kan de bli utnyttet av mer kunnskapsrike brukere.
Om OpenSea-feilen blir behandlet som en åpen sikkerhetsfeil eller et resultat av brukerfeil er foreløpig uklart.
Utvalgt bilde fra Unsplash, diagram fra TradingView.com og Etherscan
Kilde: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/