Svindlere ser ud til at drage fordel af en OpenSea-fejl for at købe værdifulde NFT'er til en betydeligt billigere pris end deres nuværende notering.
Adskillige forskere og udviklere har detaljeret det igangværende problem, hvor nogle hævder, at specifikke NFT'er til en værdi af hundredtusindvis af dollars er blevet stjålet ved at udnytte platformens fejl.
OpenSea Bug åbner platform til hacking
Ifølge rapporter har en fejl i front-end af prominent nonfungible token (NFT) markedsplads OpenSea resulteret i en udnyttelse, der giver brugerne mulighed for at erhverve populære NFT'er til deres tidligere noteringspris.
Problemet ser ud til at være udbredt med Bored Ape Yacht Club (BAYC) og Mutant Ape Yacht Club (MAYC) NFT samleobjekter, hvor udnytteren var i stand til at købe dem til deres oprindelige noteringspris og efterfølgende sælge dem til den aktuelle markedspris. BAYC #9991, BAYC #8924 og MAYC #4986 er blandt de berørte NFT'er.
Hacket blev bragt frem i lyset, efter at NFT-samleren "TBALLER" tweetede, at deres sjældne Bored Ape #9991 blev solgt for en lille smule af,77 ETH, eller $1,775 tidligt mandag morgen.
Yooo gutter! Idk hvad skete der lige af, hvorfor solgte min abe lige for ,77?????
— TBALLER.eth (@T_BALLER6) Januar 24, 2022
Køberen, der går under "jpegdegenlove", vendte aben NFT næsten øjeblikkeligt for 84.2 ETH, eller omkring $200,000. Brugeren har været i stand til at vende omkring 332ETH ($754,000).
Rapporteret udnytter Ether wallet balance Kilde: Etherscan
PekShieldAlert - det populære sikkerhedsfirma PeckShield's real-time alerts bot - advarede om en OpenSea front-end fejl tidligere i dag og bemærkede, at den udnyttede allerede havde opnået 332 ETH til en værdi af omkring $750K på det tidspunkt.
Det fremgår, at @åbnet har et frontend-problem, og udnytteren fik omkring 332 Etherhttps://t.co/35kCB1n7nv
—PeckShieldAlert (@PeckShieldAlert) Januar 24, 2022
Ifølge cryptocurrency-analysefirmaet Elliptic har tre angribere ved leaOpenSeast købt NFT'er med en samlet markedsværdi på lidt mere end $1 million ved at udnytte svagheden siden mandag morgen. "Ved at udnytte denne fejl betalte en angriber i dag i alt $133,000 for syv NFT'er - før han hurtigt solgte dem videre for $934,000," lød firmaets blog.
I en Twitter tråd, Rotem Yakir, en udvikler hos den decentraliserede pengeforretning Orbs.com, forklarede sårbarheden. Folk, der genlistede deres NFT'er uden at annullere dem og derefter solgte dem til en højere pris, kunne få dem købt til en billigere pris gennem fejlen, ifølge Yakir.
Tidligere i dag bekræftede sikkerhedsforsker Tal Be'ery Elliptic og Yakirs opdagelse af viser data fra Ethereum blockchain, der bekræfter, at Bored Ape Yacht Club #8274 blev købt i juli for $50,500 (22.9 ETH) og videresolgt for omkring $296,000. (130 ETH).
Relateret artikel | Hvad gik galt i Crypto.com (CRO) hacket? Eksperter vejer ind
Denne udnyttelse er ikke ny
En tidligere udnyttelse den 31. december var vidne til et lignende scenarie, hvor et problem så ud til at komme fra overførslen af aktiver fra OpenSea-pungen til en separat pung, uden at noteringen blev annulleret.
Ifølge en bruger, hvis nogen, der bruger OpenSea, satte en NFT til salg og senere besluttede, at de ikke ønskede, at annoncen skulle forblive aktiv, ville platformen opkræve betaling for dens fjernelse. Dette kan dog være dyrt, derfor udtænkte brugere en løsning, hvor de overførte NFT til en anden tegnebog og derved annullere fortegnelsen.
1/ For nylig har der været en @åbnet udnyttelse, der har gjort det muligt at købe aktiver til stærkt nedsatte priser, inklusive 3 freshdrops-pas, en BAYC https://t.co/8pEgeXkOBo, flere MAYC'er og mere. Jeg foretog nogle undersøgelser her til morgen, og her er hvad der sker -> en ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) 31. December, 2021
OpenSea behandlede ikke problemet, da det blev rapporteret.
Relateret artikel | BitMart lader brugere læses som ofre for hack og venter på tilbagebetaling
Brugere kan se, om deres fortegnelse er blevet fjernet fra Rarible, en anden NFT-markedsplads, der gør brug af OpenSeas API. Ifølge brugeren blev fejlen rapporteret efter hændelsen i december, men der blev ikke gjort noget for at løse det.
ETH/USD svæver over $2,400. Kilde: TradingView
Det er værd at bemærke, at dette problem opstod som et resultat af det tilsigtede design af OpenSea, en centraliseret tjeneste, der bruger decentrale mønter. Det er svært at klassificere dette som et hack eller endda en fejl. OpenSea informerer forbrugerne om, at det er sådan deres service fungerer, hvilket har resulteret i adskillige svindelnumre. OpenSea-fejlen viser, at det er en sjusket markedsplads, og hvis brugere ikke er forsigtige med at følge ordentlig praksis, kan de blive udnyttet af mere kyndige brugere.
Om OpenSea-fejlen behandles som en åben sikkerhedsfejl eller et resultat af brugerfejl er i øjeblikket uklart.
Udvalgt billede fra Unsplash, diagram fra TradingView.com og Etherscan
Kilde: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/