OpenSea hyökkäyksen kohteena

OpenSea hyökkäyksen kohteena

Hakkerit käyttivät hyväkseen OpenSea-alustassa olevaa virhettä ostaakseen useita yli miljoonan dollarin arvoisia NFT:itä rajuilla kuusinumeroisilla alennuksilla.

Elliptic raportoi hakkeroinnista OpenSeassa

Hakkerointi kohdistui useiden lompakoiden NFT:iin, jotka hyökkääjät pystyivät ostamaan aiemmin listattuihin hintoihin ilman, että omistajat saivat vihiä. OpenSea ei ole vielä kommentoinut tai antanut ilmoitusta hyökkäyksestä, jonka lohkoketjuanalytiikkayhtiö Elliptic huomasi ja raportoi ensimmäisenä.

Ellipticin johtavan tutkijan ja toisen perustajan Tom Robinsonin mukaan

”Hyökkäys näyttää tulevan siitä, että aiemmin oli mahdollista listata NFT uudelleen uuteen hintaan peruuttamatta aiempaa listausta. Näitä vanhoja listauksia käytetään nyt NFT:iden ostamiseen aiemmin määritellyillä hinnoilla, jotka ovat usein huomattavasti nykyisiä markkinahintoja alhaisempia.”

Bugia hyödynnetään NFT:iden sieppaamiseen.

Yksi tämän bugin avulla varastetuista NFT:istä oli Bored Ape #9991 suositusta Bored Ape Yacht Club -kokoelmasta. NFT ostettiin 0,77 ETH:lla (noin 1747 dollaria), mikä on erittäin alhainen hinta Bored Ape NFT:lle, joka tavallisesti maksaa satoja tuhansia dollareita. Omistaja ei kuitenkaan ollut myyntihetkellä tietoinen siitä, että NFT oli listattu näin alhaisella summalla. Pian tämän jälkeen sama NFT myytiin 84,2 ETH:lla (noin 189 040 dollaria), mikä merkitsi huomattavaa, yli 187 000 dollarin voittoa.

Tom Robinson on huomauttanut yhteensä kahdeksasta NFT:stä, jotka on varastettu tällä tavoin. Alkuperäiset lompakot olivat kaikki erilaisia, kun taas hyökkääjien lompakoita oli yhteensä vain kolme. Toinen hyökkääjän lompakko pystyi hankkimaan seitsemän NFT:tä 133 000 dollarilla, kun taas kolmas hankki toisen Bored Ape NFT:n 23 ETH:lla.

Miten tämä vika on luotu?

Ohjelmistokehittäjä Rotem Yakir on Twitter-ketjussaan tiivistänyt, miten bugi syntyi NFT-älysopimuksissa saatavilla olevien tietojen ja OpenSea-käyttöliittymän esittämien tietojen välisestä epäsuhtaisuudesta. Viime kädessä bugin avulla hyökkääjät pääsevät käsiksi vanhoihin sopimushintoihin, jotka ovat edelleen olemassa lohkoketjussa, mutta jotka on estetty näkymästä OpenSea-sovelluksessa. Potentiaaliset ostajat OpenSeassa tekevät tarjouksen NFT:n omistajan asettaman näkyvän ”listahinnan” perusteella. Kun ostaja hyväksyy listahinnan, NFT:n omistusoikeus siirtyy automaattisesti hänelle.

Virhe syntyy, kun omistajat haluavat listata NFT:nsä uudelleen korkeampaan hintaan, mutta eivät halua maksaa kaasumaksuja ensimmäisen listauksen peruuttamisesta. Sen sijaan he siirtävät NFT:n toiseen lompakkoon ja sitten takaisin alkuperäiseen lompakkoon. Näin listaus poistetaan OpenSean etusivulta. Alkuperäinen listaus pysyy kuitenkin aktiivisena lohkoketjussa ja on löydettävissä OpenSea API:n kautta.

On mielenkiintoista huomata, että tämä bugi oli löydetty jo joulukuussa 2021. Lisäksi vielä tammikuussa 2022 Twitter-ketjussa valotettiin NFT:iden pakkomyyntiä tällä menetelmällä. OpenSea ei kuitenkaan tuolloin ryhtynyt ehkäiseviin toimiin.


Vastuuvapauslauseke: Tämä artikkeli on tarkoitettu vain tiedotustarkoituksiin. Sitä ei tarjota tai ole tarkoitettu käytettäväksi oikeudellisena, verotuksellisena, sijoitus-, rahoitus- tai muuna neuvona.

Tämä uutinen on käännetty ja julkaistu Cryptodaily.co.uk luvalla lue tiedote
This news article has been translated and published with permission from Cryptodaily.co.uk
News source:
https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea