Sinamantala ng mga hacker ang isang umiiral na bug sa OpenSea platform upang bumili ng maraming NFT na nagkakahalaga ng mahigit isang milyong dolyar sa matinding anim na numerong diskwento.
Elliptic Reports NFT Loss Sa OpenSea
Ang mga NFT sa maraming wallet ay na-target sa hack, kung saan ang mga umaatake ay nabili ang mga ito sa dating nakalistang mga presyo nang walang tip sa mga may-ari. Ang OpenSea ay hindi pa gumagawa ng komento o isang anunsyo tungkol sa pag-atake, na unang napansin at iniulat ng blockchain analytics company na Elliptic.
Ayon sa punong siyentipiko at co-founder sa Elliptic, Tom Robinson
"Lumilitaw na ang pagsasamantala ay nagmumula sa katotohanan na dati ay posible na muling ilista ang isang NFT sa isang bagong presyo, nang hindi kinakansela ang nakaraang listahan. Ang mga lumang listahang iyon ay ginagamit na ngayon upang bumili ng mga NFT sa mga presyong tinukoy sa nakaraan – kadalasang mas mababa sa kasalukuyang mga presyo sa merkado.”
Sinamantala ang Bug Para Mang-agaw ng mga NFT
Isa sa mga NFT na ninakaw sa pamamagitan ng pagsasamantala sa bug na ito ay ang Bored Ape #9991 mula sa sikat na koleksyon ng Bored Ape Yacht Club. Ang NFT ay binili sa halagang 0.77 ETH (humigit-kumulang $1747), isang napakababang presyo para sa isang Bored Ape NFT, kadalasang nagbebenta ng daan-daang libong dolyar. Gayunpaman, hindi alam ng may-ari sa oras ng pagbebenta na ang NFT ay nakalista para sa mababang halaga. Di-nagtagal pagkatapos noon, ang parehong NFT ay naibenta sa halagang 84.2 ETH (tinatayang $189,040), na nagkakahalaga ng malaking kita na mahigit $187,000.
Itinuro ni CEO Robinson ang kabuuang walong NFT na ninakaw sa ganitong paraan. Ang mga pinagmulang wallet ay magkakaiba, habang ang kabuuang attacker wallet ay tatlo lang. Ang isa pang attacker wallet ay nakakuha ng pitong NFT sa halagang $133,000, habang ang pangatlo ay nakakuha ng isa pang Bored Ape NFT sa halagang 23 ETH.
Paano Nilikha ang Bug na Ito?
Sa isang Twitter thread, ang software developer na si Rotem Yakir ay nag-summarize kung paano ginawa ang bug mula sa hindi pagkakatugma sa pagitan ng impormasyong available sa NFT smart contract at ang impormasyong ipinakita ng user interface ng OpenSea. Sa huli, hinahayaan ng bug ang mga umaatake na ma-access ang mga lumang presyo ng kontrata na umiiral pa rin sa blockchain ngunit na-block mula sa view sa OpenSea application. Ang mga potensyal na mamimili sa OpenSea ay gumagawa ng bid sa nakikitang "listahan ng presyo" na itinakda ng may-ari ng NFT. Kapag tinanggap ng isang mamimili ang listahan ng presyo, ang pagmamay-ari ng NFT ay awtomatikong ililipat sa kanila.
Nagagawa ang bug kapag gusto ng mga may-ari na muling ilista ang kanilang mga NFT sa mas mataas na presyo ngunit ayaw nilang bayaran ang mga bayarin sa gas upang kanselahin ang unang listahan. Kaya sa halip, inilipat nila ang NFT sa isa pang wallet at pagkatapos ay bumalik sa orihinal na wallet. Ang paggawa nito ay nag-aalis ng listahan mula sa front-end ng OpenSea. Gayunpaman, ang orihinal na listahan ay nananatiling aktibo sa blockchain at maaaring matagpuan sa pamamagitan ng OpenSea API.
Nakatutuwang tandaan na ang bug na ito ay natuklasan noong Disyembre 2021. Higit pa rito, kahit noong Enero 2022, isang Twitter thread ang nagbigay liwanag sa sapilitang pagbebenta ng mga NFT sa paraang ito. Gayunpaman, walang aksyong pang-iwas ang ginawa ng OpenSea noong panahong iyon.
Pagwawaksi: Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pampinansyal, o iba pang payo.
Pinagmulan: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea