נראה שרמאים מנצלים את באג של OpenSea כדי לרכוש NFTs יקרי ערך במחיר זול משמעותית מהרישום הנוכחי שלהם.
מספר חוקרים ומפתחים פירטו את הבעיה המתמשכת, כאשר חלקם טוענים שמכשירי NFT ספציפיים בשווי מאות אלפי דולרים נגנבו על ידי ניצול הבאג של הפלטפורמה.
OpenSea Bug פותח פלטפורמה לפריצה
על פי דיווחים, תקלה בקצה הקדמי של שוק האסימון הבלתי פעיל (NFT) בולט OpenSea הביאה לניצול המאפשר למשתמשים לרכוש NFTs פופולריים במחיר הרישום הקודם שלהם.
נראה שהבעיה נפוצה עם פריטי אספנות NFT של Bored Ape Yacht Club (BAYC) ו-Mutant Ape Yacht Club (MAYC), שם הנצלן הצליח לרכוש אותם במחיר הרישום המקורי שלהם ולאחר מכן למכור אותם במחיר השוק הנוכחי. BAYC #9991, BAYC #8924 ו-MAYC #4986 הם בין ה-NFTs המושפעים.
הפריצה הובאה לאור לאחר שאספן NFT "TBALLER" צייץ בטוויטר כי Bored Ape #9991 הנדיר שלהם נמכר בסכום זעום של.77 ETH, או $1,775 מוקדם בבוקר יום שני.
יואו חבר'ה! אני יודע מה בדיוק קרה בגלל למה הקוף שלי נמכר ב-.77?????
— TBALLER.eth (@T_BALLER6) ינואר 24, 2022
הקונה, שמופיע בשם "jpegdegenlove", העיף את הקוף NFT כמעט מיד תמורת 84.2 ETH, או בערך 200,000 $. המשתמש הצליח להעיף בערך 332ETH ($754,000).
דיווח על יתרת ארנק Ether של המנצל מקור: Etherscan
PekShieldAlert - בוט ההתראות בזמן אמת של חברת האבטחה הפופולרית PeckShield - התריע על פגם בחזית OpenSea מוקדם יותר היום, וציין שהמנוצל כבר השיג 332 ETH בשווי של כ-750K$ באותה עת.
נדמה @opensea יש בעיה חזיתית והנצלן הרוויח בערך 332 Etherhttps://t.co/35kCB1n7nv
— PeckShieldAlert (@PeckShieldAlert) ינואר 24, 2022
לפי חברת ניתוח המטבעות הקריפטוגרפיים Elliptic, ב-leaOpenSeast שלושה תוקפים רכשו NFT עם שווי שוק כולל של קצת יותר ממיליון דולר תוך שימוש בחולשה מאז יום שני בבוקר. "על ידי ניצול הפגם הזה, תוקף אחד שילם היום סך של $1 עבור שבעה NFTs - לפני שמכר אותם במהירות תמורת $133,000", נכתב בבלוג של החברה.
ב חוט בטוויטר, רותם יקיר, מפתחת בעסק הכסף המבוזר Orbs.com, הסבירה את הפגיעות. אנשים שהוציאו מחדש את ה-NFTs שלהם מבלי לבטל אותם ואז מכרו אותם במחיר גבוה יותר יכלו לקנות אותם במחיר זול יותר דרך התקלה, לדברי יקיר.
מוקדם יותר היום אישר חוקר האבטחה טל בארי את תגליתם של אליפטי ויקיר על ידי הצגת נתונים מ-Ethereum blockchain המאשר ש- Bored Ape Yacht Club #8274 נרכש ביולי תמורת 50,500 דולר (22.9 ETH) ונמכר מחדש בכ-296,000 דולר. (130 ETH).
מאמר קשור | מה השתבש בפריצת Crypto.com (CRO)? מומחים שוקלים
ניצול זה אינו חדש
ניצול מוקדם יותר ב-31 בדצמבר היה עד לתרחיש דומה, בו נראה כי בעיה נובעת מהעברת נכסים מארנק OpenSea לארנק נפרד מבלי שהרישום בוטל.
לפי משתמש אחד, אם מישהו שמשתמש ב-OpenSea שם NFT למכירה ומאוחר יותר יחליט שהוא לא רוצה שהמודעה הזו תישאר פעילה, הפלטפורמה תחייב את הסרתה. עם זאת, זה יכול להיות יקר, לכן משתמשים המציאו פתרון עוקף שבו הם העבירו את ה-NFT לארנק אחר, ובכך ביטלו את הרישום.
1/ לאחרונה יש @opensea ניצול שאיפשר רכישת נכסים במחירים מוזלים מאוד, כולל 3 כרטיסים ל-Freshdrops, BAYC https://t.co/8pEgeXkOBo, מספר MAYCs ועוד. עשיתי קצת מחקר הבוקר והנה מה קורה -> ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) דצמבר 31, 2021
OpenSea לא התייחסה לבעיה כשהיא דווחה.
מאמר קשור | BitMart משאיר את המשתמשים כקורבנות של פריצה ממתינים להחזרים
משתמשים יכולים לראות אם הרישום שלהם הוסר מ-Rarible, שוק NFT נוסף שעושה שימוש ב-API של OpenSea. לטענת המשתמש, הפגם דווח לאחר ההתרחשות בדצמבר, אך לא ננקטה כל פעולה כדי לפתור אותה.
ETH/USD מרחף מעל $2,400. מקור: TradingView
ראוי לציין כי בעיה זו נוצרה כתוצאה מהתכנון המיועד של OpenSea, שירות מרוכז העושה שימוש במטבעות מבוזרים. קשה לסווג את זה כפריצה או אפילו באג. OpenSea מודיעה לצרכנים שכך עובד השירות שלה, מה שהביא למספר רב של הונאות. הבאג של OpenSea מראה שזהו שוק מרושל, ואם משתמשים לא נזהרים לפעול לפי שיטות עבודה נאותות, הם עלולים להיות מנוצלים על ידי משתמשים נבונים יותר.
כרגע לא ברור אם הבאג של OpenSea מטופל כליקוי אבטחה פתוח או כתוצאה משגיאת משתמש.
תמונה מוצגת מ- Unsplash, תרשים מ- TradingView.com ו- Etherscan
מקור: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/