טק

באג ב-OpenSea מוביל לאובדן NFT מסיבי

01/25/2022
חדשות Ethereum של ביטקוין

האקרים ניצלו באג קיים בפלטפורמת OpenSea כדי לרכוש מספר NFTs בשווי של למעלה ממיליון דולר בהנחות דרסטיות של שש ספרות. 

אליפטי מדווח על אובדן NFT ב-OpenSea

NFTs על פני ארנקים מרובים היו ממוקדים בפריצה, שם התוקפים יכלו לקנות אותם במחירים שנרשמו בעבר מבלי להמליץ ​​על הבעלים. OpenSea עדיין לא הגיבה או הכרזה בנוגע למתקפה, אשר הבחינה ודווחה לראשונה על ידי חברת האנליטיקה של הבלוקצ'יין Elliptic. 

תמונה

לדברי המדען הראשי ומייסד שותף באליפטיק, טום רובינסון

"נראה שהניצול נובע מהעובדה שבעבר ניתן היה לרשום מחדש NFT במחיר חדש, מבלי לבטל את הרישום הקודם. הרישומים הישנים האלה משמשים כעת לקניית NFTs במחירים שצוינו בעבר - לעתים קרובות הרבה מתחת למחירי השוק הנוכחיים."

באג מנוצל כדי לחטוף NFTs

אחד ה-NFTs שנגנבו על ידי ניצול הבאג הזה היה Bored Ape #9991 מאוסף Bored Ape Yacht Club הפופולרי. ה-NFT נקנה תמורת 0.77 ETH (בסביבות $1747), מחיר נמוך באופן דרסטי עבור Bored Ape NFT, הנמכר בדרך כלל במאות אלפי דולרים. עם זאת, הבעלים בזמן המכירה לא היה מודע לכך ש-NFT נרשמה בסכום נמוך כל כך. זמן קצר לאחר מכן, אותו NFT נמכר תמורת 84.2 ETH (כ-189,040 דולר), והיווה רווח משמעותי של למעלה מ-187,000 דולר. 

המנכ"ל רובינסון הצביע על סך של שמונה NFTs שנגנבו בצורה זו. ארנקי המקור היו כולם שונים, בעוד שסך כל ארנקי התוקפים היו רק שלושה. ארנק תוקף אחר הצליח לרכוש שבעה NFTs ב-$133,000, בעוד שארנק שלישי רכש עוד Bored Ape NFT תמורת 23 ETH עלובים. 

איך נוצר הבאג הזה? 

בשרשור בטוויטר, מפתחת התוכנה רותם יקיר סיכמה כיצד נוצר הבאג מחוסר התאמה בין המידע הזמין בחוזים חכמים NFT לבין המידע שמוצג בממשק המשתמש של OpenSea. בסופו של דבר, הבאג מאפשר לתוקפים לגשת למחירי חוזים ישנים שעדיין קיימים בבלוקצ'יין אך חסומים לצפייה באפליקציית OpenSea. קונים פוטנציאליים ב-OpenSea מציעים הצעה על "מחיר המחירון" הגלוי כפי שנקבע על ידי הבעלים של ה-NFT. ברגע שקונה מקבל את מחיר המחירון, הבעלות על ה-NFT מועברת אליו אוטומטית. 

הבאג נוצר כאשר בעלים רוצים לרשום מחדש את ה-NFTs שלהם במחיר גבוה יותר אבל לא רוצים לשלם את דמי הגז כדי לבטל את הרישום הראשון. אז במקום זאת, הם מעבירים את ה-NFT לארנק אחר ואז בחזרה לארנק המקורי. פעולה זו תסיר את הרישום מהחזית של OpenSea. עם זאת, הרישום המקורי נשאר פעיל בבלוקצ'יין וניתן למצוא אותו דרך OpenSea API. 

מעניין לציין שהבאג הזה התגלה עוד בדצמבר 2021. יתר על כן, אפילו בינואר 2022, שרשור בטוויטר האיר אור על מכירה כפויה של NFTs בשיטה זו. עם זאת, לא ננקטה כל פעולה מונעת על ידי OpenSea באותה עת.

הצהרת אחריות: מאמר זה ניתן למטרות מידע בלבד. הוא אינו מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.

מקור: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea