Penipu nampaknya mengambil kesempatan daripada pepijat OpenSea untuk membeli NFT berharga pada harga yang jauh lebih murah daripada penyenaraian semasa mereka.
Beberapa penyelidik dan pembangun telah memperincikan masalah yang sedang berlaku, dengan sesetengah pihak mendakwa bahawa NFT tertentu bernilai ratusan ribu dolar telah dicuri dengan mengeksploitasi pepijat platform.
Pepijat OpenSea Membuka Platform Untuk Menggodam
Menurut laporan, kerosakan pada bahagian hadapan pasaran token tidak boleh kulat (NFT) terkemuka OpenSea telah mengakibatkan eksploitasi yang membolehkan pengguna memperoleh NFT popular pada harga penyenaraian mereka sebelum ini.
Isu ini nampaknya berleluasa dengan koleksi NFT Kelab Yacht Ape Bosan (BAYC) dan Kelab Yacht Mutant Ape (MAYC), di mana pengeksploitasi dapat membelinya untuk harga penyenaraian asal mereka dan kemudiannya menjualnya untuk harga pasaran semasa. BAYC #9991, BAYC #8924 dan MAYC #4986 adalah antara NFT yang terjejas.
Penggodaman itu didedahkan selepas pengumpul NFT "TBALLER" menulis tweet bahawa Kera Bosan #9991 yang jarang ditemui mereka dijual dengan harga yang sedikit sebanyak.77 ETH, atau $1,775 awal pagi Isnin.
Yooo kawan-kawan! Entah apa yang berlaku dengan mengapa beruk saya hanya dijual dengan harga .77?????
— TBALLER.eth (@T_BALLER6) Januari 24, 2022
Pembeli, yang menggunakan "jpegdegenlove," membalikkan NFT beruk hampir serta-merta untuk 84.2 ETH, atau kira-kira $200,000. Pengguna telah dapat membalikkan kira-kira 332ETH ($754,000).
Baki dompet Ether pengeksploitasi yang dilaporkan Sumber: Etherscan
PekShieldAlert — bot makluman masa nyata firma keselamatan popular PeckShield – memaklumkan kecacatan bahagian hadapan OpenSea awal hari ini, dengan menyatakan bahawa yang dieksploitasi telah memperoleh 332 ETH bernilai sekitar $750K pada masa itu.
Nampaknya bahawa @opensea mempunyai isu bahagian hadapan dan pengeksploitasi memperoleh kira-kira 332 Etherhttps://t.co/35kCB1n7nv
— PeckShieldAlert (@PeckShieldAlert) Januari 24, 2022
Menurut firma analisis mata wang kripto Elliptic, di leaOpenSeast tiga penyerang telah membeli NFT dengan jumlah nilai pasaran lebih sedikit daripada $1 juta menggunakan kelemahan itu sejak pagi Isnin. "Dengan mengeksploitasi kelemahan ini, seorang penyerang hari ini membayar sejumlah $133,000 untuk tujuh NFT-sebelum cepat menjualnya pada harga $934,000," blog firma itu membaca.
Dalam pakej Twitter thread, Rotem Yakir, pemaju di perniagaan wang terdesentralisasi Orbs.com, menjelaskan kelemahan. Orang yang menyenaraikan semula NFT mereka tanpa membatalkannya dan kemudian menjualnya pada harga yang lebih tinggi boleh meminta mereka membeli pada harga yang lebih murah melalui gangguan itu, menurut Yakir.
Awal hari ini, penyelidik keselamatan Tal Be'ery menyokong penemuan Elliptic dan Yakir oleh memaparkan data daripada blockchain Ethereum yang mengesahkan bahawa Bored Ape Yacht Club #8274 telah dibeli pada bulan Julai dengan harga $50,500 (22.9 ETH) dan dijual semula dengan harga kira-kira $296,000. (130 ETH).
Artikel berkaitan | Apa yang Salah Dalam Hack Crypto.com (CRO)? Pakar Timbang
Eksploitasi Ini Bukan Baru
Eksploitasi lebih awal pada 31 Disember menyaksikan senario yang sama, di mana masalah kelihatan datang daripada pemindahan aset daripada dompet OpenSea ke dompet berasingan tanpa penyenaraian dibatalkan.
Menurut seorang pengguna, jika seseorang yang menggunakan OpenSea meletakkan NFT untuk dijual dan kemudian memutuskan mereka tidak mahu iklan itu kekal aktif, platform akan mengenakan bayaran untuk pengalihan keluarnya. Ini, walau bagaimanapun, boleh menjadi mahal, oleh itu pengguna mencipta penyelesaian di mana mereka memindahkan NFT ke dompet lain, dengan itu membatalkan penyenaraian.
1/ Baru-baru ini terdapat satu @opensea eksploitasi yang telah membolehkan aset dibeli pada harga yang sangat diskaun, termasuk 3 pas freshdrops, BAYC https://t.co/8pEgeXkOBo, berbilang MAYC dan banyak lagi. Saya membuat kajian pagi ini dan inilah yang berlaku -> a ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) Disember 31, 2021
OpenSea tidak menangani isu itu apabila ia dilaporkan.
Artikel berkaitan | BitMart Membiarkan Pengguna Dibaca Sebagai Mangsa Hack Menunggu Bayaran Balik
Pengguna boleh melihat sama ada penyenaraian mereka telah dialih keluar daripada Rarible, satu lagi pasaran NFT yang menggunakan API OpenSea. Menurut pengguna, kecacatan itu dilaporkan selepas kejadian Disember, tetapi tiada tindakan diambil untuk menyelesaikannya.
ETH/USD berlegar di atas $2,400. Sumber: TradingView
Perlu diingat bahawa masalah ini timbul akibat reka bentuk OpenSea yang dimaksudkan, perkhidmatan terpusat yang menggunakan syiling terdesentralisasi. Sukar untuk mengklasifikasikan ini sebagai penggodaman atau bahkan pepijat. OpenSea memberitahu pengguna bahawa ini adalah cara perkhidmatannya berfungsi, yang telah mengakibatkan banyak penipuan. Pepijat OpenSea menunjukkan bahawa ia adalah pasaran yang ceroboh, dan jika pengguna tidak berhati-hati untuk mengikuti amalan yang betul, mereka mungkin dieksploitasi oleh pengguna yang lebih arif.
Sama ada pepijat OpenSea dianggap sebagai kecacatan keselamatan terbuka atau akibat daripada ralat pengguna pada masa ini tidak jelas.
Imej pilihan daripada Unsplash, carta daripada TradingView.com dan Etherscan
Sumber: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/