Popüler NFT pazarı olan OpenSea’deki bir hata, bilgisayar korsanlarının piyasa değerinin çok altında nadir bulunan NFT’leri satın almasına izin verdi, bazı durumlarda orijinal sahipler için yüz binlerce dolar zarara ve görünen için yüz binlerce dolar kâra yol açtı. hırsızlar.
Hatanın haftalardır var olduğu ve en az birinde başvurulduğu görülüyor. 1 Ocak 2022 tweet’i. Ancak hatanın kullanımı geçtiğimiz gün önemli ölçüde arttı: Blockchain analitik şirketi Elliptic, 24 Ocak sabahına 12 saatlik bir sürede en az sekiz kez istismar edildiğini bildirdi. 1 milyon doların üzerinde piyasa değeri olan NFT’leri “çalmak”.
NFT’lerden biri, Fored Ape Yat Kulübü #9991, istismar tekniği kullanılarak 0.77 ETH (1.760 $) karşılığında satın alındı ve hızlı bir şekilde 84,2 ETH (192,400 $) karşılığında yeniden satıldı ve saldırgana 190.000 $’dan fazla kar sağladı. Bir Ethereum adresi satıcıyla bağlantılı olarak, aynı 12 saatlik dönemde OpenSea’den 400’den fazla ETH (904.000 $) ödeme aldı.
Baş bilim adamı ve ortaklarından Tom Robinson, “Bunu bir boşluk mu yoksa bir hata mı olarak değerlendirdiğiniz öznel bir şey, ancak gerçek şu ki, insanlar şu anda kabul etmeyecekleri bir fiyattan satışa zorlanıyorlar” dedi. -Elliptic’in kurucusu.
göre Twitter dizisi yazılım geliştiricisi Rotem Yakir tarafından, hata, NFT akıllı sözleşmelerinde bulunan bilgiler ile OpenSea’nin kullanıcı arayüzü tarafından sunulan bilgiler arasındaki uyumsuzluktan kaynaklanıyor. Esasen saldırganlar, blok zincirinde devam eden ancak artık OpenSea uygulaması tarafından sağlanan görünümde bulunmayan eski sözleşmelerden yararlanıyor.
OpenSea kullanıcıları, potansiyel alıcıların görmesi için bir “liste fiyatı” belirleyerek NFT satar. Akıllı sözleşmelerin doğası gereği, bir alıcı bu liste fiyatını kabul ederse, NFT otomatik olarak onlara aktarılır. Bir mal sahibi daha yüksek bir satış fiyatı için bir NFT’yi yeniden listelemek isterse, bunu yapmanın doğru yolu ilk listelemeyi iptal etmektir, bu da “gaz ücretiBu onlarca, hatta yüzlerce dolar olabilir, bu yüzden bazı kullanıcılar NFT’yi başka bir cüzdana, ardından orijinal cüzdanına geri aktararak bunun etrafından dolaştılar. Bu teknik, listeyi OpenSea’nin ön uç ekranındaki bilgilerden kaldırmış olsa da, orijinal liste blok zincirinde aktif kaldı ve iddiaya göre OpenSea API’si aracılığıyla bulunabildi.
Hata, 31 Aralık 2021 gibi erken bir tarihte keşfedildi, CoinDesk’e göre. A cıvıldamak neredeyse iki hafta önce 12 Ocak 2022’de NFT’lerin aynı yöntemle zorunlu satışını detaylandırıyor.
OpenSea’nin durumu açık bir güvenlik açığı olarak mı yoksa kullanıcı hatasının bir sonucu olarak mı ele aldığı belli değil. Şirket, yayınlandığı zamana kadar bir yorum talebine yanıt vermedi.