OpenSea Bug fører til massivt NFT-tap

Hackere utnyttet en eksisterende feil i OpenSea-plattformen for å kjøpe flere NFT-er verdt over en million dollar til drastiske sekssifrede rabatter. 

Elliptisk rapporterer NFT-tap på OpenSea

NFT-er på tvers av flere lommebøker ble målrettet i hacket, der angriperne var i stand til å kjøpe dem til tidligere oppførte priser uten å tipse eierne. OpenSea har ennå ikke kommet med en kommentar eller en kunngjøring angående angrepet, som først ble lagt merke til og rapportert av blokkjedeanalyseselskapet Elliptic. 

Ifølge sjefforsker og medgründer ved Elliptic, Tom Robinson

"Utnyttelsen ser ut til å komme fra det faktum at det tidligere var mulig å notere en NFT på nytt til en ny pris, uten å kansellere den forrige noteringen. Disse gamle oppføringene blir nå brukt til å kjøpe NFT-er til priser spesifisert i fortiden – ofte godt under gjeldende markedspriser.»

Feil utnyttet til å snappe NFT-er

En av NFT-ene som ble stjålet ved å utnytte denne feilen, var Bored Ape #9991 fra den populære Bored Ape Yacht Club-samlingen. NFT ble kjøpt for 0.77 ETH (rundt $1747), en drastisk lav pris for en Bored Ape NFT, som vanligvis selges for hundretusenvis av dollar. Eieren var imidlertid ved salget ikke kjent med at NFT var notert for et så lavt beløp. Kort tid etter ble den samme NFT solgt for 84.2 ETH (ca. $189,040), og sto for en betydelig fortjeneste på over $187,000. 

Administrerende direktør Robinson har pekt på totalt åtte NFT-er som er blitt stjålet på denne måten. De opprinnelige lommebøkene var alle forskjellige, mens de totale angriperlommebøkene var bare tre. En annen angriper-lommebok var i stand til å skaffe seg syv NFT-er for $133,000 23, mens en tredje kjøpte en annen Bored Ape NFT for sølle XNUMX ETH. 

Hvordan skapes denne feilen? 

I en Twitter-tråd har programvareutvikler Rotem Yakir oppsummert hvordan feilen ble opprettet fra et misforhold mellom informasjonen som er tilgjengelig i NFT smarte kontrakter og informasjonen presentert av OpenSeas brukergrensesnitt. Til syvende og sist lar feilen angripere få tilgang til gamle kontraktspriser som fortsatt eksisterer på blokkjeden, men som er blokkert for visning på OpenSea-applikasjonen. Potensielle kjøpere på OpenSea gir et bud på den synlige "listeprisen" som er satt av NFT-eieren. Når en kjøper aksepterer listeprisen, overføres eierskapet til NFT automatisk til dem. 

Feilen opprettes når eiere ønsker å notere NFT-ene sine på nytt til en høyere pris, men ikke ønsker å betale gassavgiftene for å kansellere den første oppføringen. Så i stedet overfører de NFT til en annen lommebok og deretter tilbake til den opprinnelige lommeboken. Hvis du gjør dette, fjernes oppføringen fra OpenSeas frontend. Den opprinnelige oppføringen forblir imidlertid aktiv på blokkjeden og kan bli funnet gjennom OpenSea API. 

Det er interessant å merke seg at denne feilen ble oppdaget tilbake i desember 2021. Videre, selv i januar 2022, lyste en Twitter-tråd et lys på tvangssalg av NFT-er med denne metoden. Imidlertid ble ingen forebyggende tiltak iverksatt av OpenSea på det tidspunktet.

Ansvarsfraskrivelse: Denne artikkelen er kun gitt for informasjonsformål. Det tilbys eller er ikke ment å brukes som juridisk, skatt, investering, økonomisk eller annen rådgivning.