Lumilitaw na sinasamantala ng mga scammer ang isang OpenSea bug upang makabili ng mga mahahalagang NFT sa isang mas murang presyo kaysa sa kanilang kasalukuyang listahan.
Ilang mananaliksik at developer ang nagdetalye sa patuloy na problema, na may ilan na nagsasabing ang mga partikular na NFT na nagkakahalaga ng daan-daang libong dolyar ay ninakaw sa pamamagitan ng pagsasamantala sa bug ng platform.
Binuksan ng OpenSea Bug ang Platform Para I-hack
Ayon sa mga ulat, ang isang pagkakamali sa harap na dulo ng kilalang nonfungible token (NFT) marketplace na OpenSea ay nagresulta sa isang pagsasamantala na nagpapahintulot sa mga user na makakuha ng mga sikat na NFT sa kanilang naunang presyo ng listahan.
Ang isyu ay lumalabas na laganap sa Bored Ape Yacht Club (BAYC) at Mutant Ape Yacht Club (MAYC) NFT collectibles, kung saan ang mapagsamantala ay nabili ang mga ito para sa kanilang orihinal na presyo ng listahan at pagkatapos ay naibenta ang mga ito para sa kasalukuyang presyo sa merkado. Ang BAYC #9991, BAYC #8924, at MAYC #4986 ay kabilang sa mga apektadong NFT.
Ang hack ay inilabas matapos mag-tweet ang kolektor ng NFT na si "TBALLER" na ang kanilang bihirang Bored Ape #9991 ay naibenta sa halagang 77 ETH, o $1,775 noong madaling araw ng Lunes.
Yooo guys! Idk what just happened by bakit nabili na lang ng unggoy ko ng .77?????
— TBALLER.eth (@T_BALLER6) Enero 24, 2022
Ang bumibili, na pumunta sa pamamagitan ng "jpegdegenlove," ay binaligtad ang unggoy na NFT halos kaagad para sa 84.2 ETH, o humigit-kumulang $200,000. Nagawa ng user na i-flip ang humigit-kumulang 332ETH ($754,000).
Iniulat na mapagsamantalang balanse ng Ether wallet Source: Etherscan
Ang PekShieldAlert — ang sikat na security firm na PeckShield's real-time alerts bot - ay nag-alerto tungkol sa isang front-end na flaw ng OpenSea kanina, na binanggit na ang pinagsamantalahan ay nakakuha na ng 332 ETH na nagkakahalaga ng humigit-kumulang $750K noong panahong iyon.
Lumilitaw na @opensea ay may front-end na isyu at ang mapagsamantala ay nakakuha ng humigit-kumulang 332 Etherhttps://t.co/35kCB1n7nv
— PeckShieldAlert (@PeckShieldAlert) Enero 24, 2022
Ayon sa cryptocurrency analysis firm na Elliptic, sa leaOpenSeast tatlong umaatake ang bumili ng mga NFT na may kabuuang halaga sa merkado na bahagyang higit sa $1 milyon gamit ang kahinaan mula noong Lunes ng umaga. "Sa pamamagitan ng pagsasamantala sa kapintasan na ito, ang isang umaatake ngayon ay nagbabayad ng kabuuang $133,000 para sa pitong NFT—bago mabilis na ibenta ang mga ito sa halagang $934,000," binasa ng blog ng kumpanya.
Sa isang Twitter thread, Ipinaliwanag ni Rotem Yakir, isang developer sa desentralisadong negosyo ng pera na Orbs.com, ang kahinaan. Ang mga taong muling nag-relist ng kanilang mga NFT nang hindi kinansela ang mga ito at pagkatapos ay ibinenta ang mga ito sa mas mataas na presyo ay maaaring bilhin sila sa mas murang presyo sa pamamagitan ng glitch, ayon kay Yakir.
Mas maaga ngayon, pinatunayan ng security researcher na si Tal Be'ery ang pagkatuklas ni Elliptic at Yakir ni pagpapakita ng data mula sa Ethereum blockchain na nagpapatunay na ang Bored Ape Yacht Club #8274 ay binili noong Hulyo sa halagang $50,500 (22.9 ETH) at muling ibinenta ng humigit-kumulang $296,000. (130 ETH).
Kaugnay na artikulo | Ano ang Nagkamali Sa Crypto.com (CRO) Hack? Tinitimbang ng mga Eksperto
Ang Pagsasamantalang Ito ay Hindi Bago
Isang naunang pagsasamantala noong Disyembre 31 ang nakasaksi ng katulad na senaryo, kung saan lumitaw ang isang problema sa paglilipat ng mga asset mula sa OpenSea wallet patungo sa isang hiwalay na wallet nang hindi nakansela ang listahan.
Ayon sa isang user, kung ang isang taong gumagamit ng OpenSea ay naglagay ng isang NFT para sa pagbebenta at kalaunan ay nagpasya na hindi nila gustong manatiling aktibo ang ad na iyon, ang platform ay magbabayad para sa pagtanggal nito. Ito, gayunpaman, ay maaaring magastos, samakatuwid ang mga gumagamit ay gumawa ng isang solusyon kung saan inilipat nila ang NFT sa isa pang wallet, at sa gayon ay kinansela ang listahan.
1/ Kamakailan ay nagkaroon ng isang @opensea pagsasamantala na nagbigay-daan para sa mga asset na mabili sa napakababang presyo, kabilang ang 3 freshdrops pass, isang BAYC https://t.co/8pEgeXkOBo, maraming MAYC, at higit pa. Nag-research ako kaninang umaga at narito ang nangyayari -> a ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) Disyembre 31, 2021
Hindi natugunan ng OpenSea ang isyu noong iniulat ito.
Kaugnay na artikulo | Hinahayaan ng BitMart na Magbasa ang Mga User Habang Naghihintay ng Mga Refund ang Mga Biktima Ng Hack
Makikita ng mga user kung ang kanilang listahan ay inalis sa Rarible, isa pang NFT marketplace na gumagamit ng OpenSea's API. Ayon sa gumagamit, ang kapintasan ay naiulat pagkatapos ng pangyayari noong Disyembre, ngunit walang aksyon na ginawa upang malutas ito.
Ang ETH/USD ay nag-hover sa itaas ng $2,400. Pinagmulan: TradingView
Kapansin-pansin na ang problemang ito ay lumitaw bilang resulta ng nilalayon na disenyo ng OpenSea, isang sentralisadong serbisyo na gumagamit ng mga desentralisadong barya. Mahirap na uriin ito bilang isang hack o kahit isang bug. Ipinapaalam ng OpenSea sa mga mamimili na ganito ang paggana ng serbisyo nito, na nagresulta sa maraming mga scam. Ang OpenSea bug ay nagpapakita na ito ay isang palpak na marketplace, at kung ang mga gumagamit ay hindi maingat na sundin ang mga wastong kasanayan, sila ay maaaring pinagsamantalahan ng mas matalinong mga gumagamit.
Kung ang OpenSea bug ay itinuturing na isang bukas na depekto sa seguridad o isang resulta ng error ng user ay kasalukuyang hindi malinaw.
Itinatampok na larawan mula sa Unsplash, tsart mula sa TradingView.com at Etherscan
Pinagmulan: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/