وفي انتظار إستتباب الطلب، جرى إستغلال الضعف في أوبن سي، مما شكل خسارة لملايين الدولارات

【TL; DR】

1 - في 24 كانون الثاني/يناير 2022، تم أختراق "أوبن سي"، وهي أكبر منصة تجارية لشركات النقل غير المباشر في العالم، مما أسفر عن خسارة قدرها مليون دولار تقريبا.
2. هناك ضعف في الطلب في الطرف الأمامي من OpenSea، ولا يزال الأمر المعلق الذي لم يتم إلغاؤه على السلسلة موجودا. وإذا قام المستخدم بنقل الأموال من صندوق النقد الدولي دون دفع رسوم الغاز وإلغاء الأمر المعلق، فإنه سيواجه خطر الأصول عند التحويل مرة أخرى إلى حساب OpenSea.
3. وفقا للبيانات الرسمية من OpenSea التي قدمت يوم الخميس، قامت OpenSea بتعويض 750 ETHs من إجمالي 130 مالك محفظة.
4 - وبالإضافة إلى الخسائر الناجمة عن عمليات القرصنة، تسببت شركة OpenSea مؤخرا في إستياء المجتمع المحلي بسبب إعدادها للإدراج في القائمة.

ففي الرابع والعشرين من يناير/كانون الثاني 2022، تعرضت شركة أوبن سي، وهي أكبر منصة تجارية لشركات النقل غير المأهولة على مستوى العالم، للقرصنة، الأمر الذي أسفر عن خسارة بلغت نحو مليون دولار.

وعندما وقع الحادث، وجد العديد من المستعملين أن شراءتهم من الأموال غير المربحة كانت بسعر منخفض جدا وسرعان ما أعيد بيعها بسعر مرتفع. على سبيل المثال، من المعروف جيدا ان اقل سعر بيع للقردة الملتوية هو 198،000 دولار اميركي. ولكن قردة المرء الملتوية اشترت ب‍ 1800 دولار اميركي وبيعت ب‍ 196،000 دولار بعد 20 دقيقة. ومن الواضح أن القرصان انتهز فرصة التعرض لمنصة أوبن سي لشراء كميات أقل من الوقود ثم بيع كميات ضخمة من النفط غير الصافي للآخرين لكسب فارق أسعار مرتفع. تشمل الأصول التي تشترى بأسعار منخفضة وتباع بأسعار مرتفعة نادي يخت قرد ممل ونادي يخت قرد متحول وقطط التبريد وقطط سيبركونز NFT. على سبيل المثال، تم إستغلال نقاط الضعف من قبل المخترقين في حوالي الساعة 7:00 من يوم 25، بحيث تم شراء نادي اليخوت القرد الملل NFT #9991 بسعر منخفض جدا 0.77ETH ثم تم بيعه مرة أخرى بسعر طبيعي قدره 84.2TH.


وبالإضافة إلى "أوبن سي"، تم أيضا قرصنة "راريبل"، وهي سوق تجارية واسعة أخرى لشركة "إن تي اف"، بنفس الشكل. وتفيد التقارير بأن السبب في تعرض سوقي شركة NFT لاختراق مماثل هو أن شركة Rarible تستخدم أيضا واجهة برمجة تطبيقات من شركة OpenSea لإطلاق شركة NFT. هناك ثغرات في واجهة برمجة التطبيقات هذه، مما يجعل الترتيب المعلق غير طبيعي.

في حالة الإدراج العادي، يتم تخزين معلومات التوقيع عند بيع NFT مؤقتا على خادم OpenSea. يمكن الوصول إلى هذه البيانات من خلال واجهة برمجة التطبيقات (API) وسيتم إبطالها بعد اكتمال المعاملة عادة. ومع ذلك، ونظرا لوجود ثغرات في الآلية، قد يظل الأمر المعلق الذي أنجز المعاملة في OpenSea نشطا. وبمجرد أن يقوم مشتري NFT بإعادة NFT إلى OpenSea، سيتم إستغلال هذا من قبل المتسللين لشراء NFT بالعرض الأصلي. وبما أن الاقتباس السابق كان لا يزال منخفضا جدا، تمكن المخترقون من شراء NFT بسعر منخفض للغاية وبيعها بسرعة بسعر السوق.


عندما وقع الحادث، طلب عدد من المستخدمين الذين يعانون من مشاكل صحية المساعدة على مواقع التواصل الاجتماعي. الشكل التالي هو المالك الأصلي لنادي يخت القرد الملتوي NFT #9991 المذكور أعلاه. وبالإضافة إلى ذلك، قال العديد من المستعملين إن شركتهم الوطنية للشراء قد اشتريت بسعر منته الصلاحية.

وعندما يقرر المستخدمون إلغاء الأوامر المعلقة، ستختفي الأوامر المعلقة فقط عندما يقرر المستخدمون إلغاء الأوامر المعلقة. إذا قام المستخدمون فقط بنقل NFT إلى محفظة أخرى دون إلغاء الأوامر المعلقة فعليا (لتجنب رسوم الغاز)، فقد يتم إستغلال الأوامر الأصلية المعلقة التي لم يتم حذفها عند تحويلها إلى OpenSea.

بعد الحادث، نشر مستخدم على موقع تويتر، يدعى "بي أو 4 إيدابي 93"، لقطة شاشة، قائلا إنه اكتشف نقطة الضعف في يونيو/حزيران 2021 وأبلغ المسؤولين عن موقع OpenSea بها. ومع ذلك، فمن الواضح أن "أوبن سي" لم تعر اهتماما لهذه المسألة ولم تعالج مسألة الضعف، التي أدت في نهاية المطاف إلى حادثة القرصنة. وفقا لمعلومات التجارة في شركة OpenSea، فإن هوية الحساب لقرصان مشتبه به هي "jpegdegenlove"، التي حققت أكثر من 800،000 دولار بهذه الطريقة في بضع ساعات. تعذر الوصول إلى الصفحة الرئيسية للحساب في الوقت الحالي.

وبما أن مالكي هذه الشركات لم يكونوا على علم بوجود هذه القابلية للتأثر، فإن أصولهم ستكون معرضة للخطر بمجرد أن ينقلوا الشركة التي اشترتها سابقا إلى شركة OpenSea. فوفقا للأخبار التي وردت في 28 يناير/كانون الثاني، اتصل مسؤولو شركة OpenSea بالمستخدمين الذين لم يلغوا طلباتهم القديمة بالبريد الإلكتروني لتذكيرهم بإلغاء طلباتهم الأصلية على السلسلة. بالإضافة إلى ذلك، قامت شركة أوبن سي بتعويض 750 شركة من أجل تملك 130 محفظة، وفقا للبيانات التي قدمها مسؤولو شركة أوبن سي يوم الخميس.


وتعد شركة أوبن سي التي تأسست في عام 2017 أكبر سوق تجارية لشركات النقل الوطنية في العالم. يمكن للمستخدمين طرح NFT في OpenSea، والتجارة، والمزاد. وفي هذا السوق التجاري لمكاتب التجارة غير الرسمية، هناك أنواع عديدة من هذه الشركات يمكن الاتجار بها، مثل الفنون الرقمية، والمقتنيات، وأصناف الألعاب، وأسماء النطاقات، وحتى الأشكال الرقمية للأصول المادية. في جوهر الأمر، فإن OpenSea هي نسخة NFT من Taobao. على تاوباو، يشتري الناس كل أنواع السلع المادية، بينما يتاجر الناس في أوبن سي بأنواع مختلفة من الأصول الرقمية. ونظرا لأن صناعة ال NFT قد إجتذبت الكثير من الاهتمام مرة بعد أخرى هذا العام بسبب الأعمال الفنية المشفرة والأفاتار المشفرة والعقارات الافتراضية، فإن عدد مستخدمي OpenSea آخذ في الارتفاع أيضا. وفي الوقت الحاضر، بلغ عدد المستخدمين النشطين شهريا لشركة OpenSea 200 000 مستخدم.

غير انه بالاضافة إلى الخسائر الناجمة عن قرصنة الكمبيوتر ، واجهت شركة أوبن سى أيضا العديد من النزاعات الاخرى مؤخرا. في السادس من ديسمبر من العام الماضي، كشف برايان روبرتس المدير المالي الجديد لشركة أوبن سي أن الشركة كانت تعمل بنشاط على الترويج للاكتتاب العام. و هذا السلوك ينظر إليه مجتمع التشفير على أنه خيانة لمستخدميه. تدعم مراوح التشفير النمو السريع للمنصة. ويحدوهم الأمل في أن يتمكن برنامج OpenSea من توزيع رموز الإدارة من خلال الإسقاط الجوي، تماما مثل خدمة أسماء مجالات Ethereum ENS و Rarible، وهي منصة تجارية أخرى ل NFT.

ومن أجل الاحتجاج على "أوبن سي"، أطلقت المجموعة أوبن داو في 24 ديسمبر/كانون الأول، وسوف تلقي بسوخو رموز الحكم عبر الهواء إلى جميع المستخدمين الذين تفاعلوا مع أوبن سي. يرتبط عدد حالات سقوط الهواء بدرجة المستخدمين الذين يستخدمون OpenSea. ويبلغ إجمالى توزيع هذه القطع 100 تريليون دولار منها 50 في المائة تستخدم في الانزال الجوى و 20 في المائة مكافئة على السحب و 10 في المائة مكافئة على جمع سيولة المستخدم و 20 في المائة للصيانة اليومية لمستخدمى داو.

وفي 26 ديسمبر/كانون الأول، رد المسؤولون في شركة أوبن سي أيضا. فمن ناحية، وعلى الرغم من أن المسؤولين في شركة OpenSea لم تكن لهم أية علاقة بالإسقاط الجوي الرمزي ل SOS، فقد أكدت شركة OpenSea إسهام المجتمع المحلي؛ ومن ناحية أخرى، ونظرا للخلفية غير الرسمية لشفرات SOS، تذكر شركة OpenSea أيضا المستخدمين بالمخاطر المتعلقة بشفرات SOS.



الكاتب: مراقب Gate.io: إدوارد إتش
إخلاء المسؤولية:
* لا تمثل هذه المادة سوى آراء المراقبين ولا تشكل أي اقتراحات إستثمارية.
*يحتفظ Gate.io بكافة الحقوق في هذه المادة. سيتم السماح بإعادة نشر المادة بشرط الإشارة إلى Gate.io. وفي جميع الحالات الأخرى، ستتخذ الإجراءات القانونية بسبب انتهاك حقوق التأليف.

مقالات الأسبوع المميزة Gate.io

تحليل قابلية عقد لعبة الحبار للتأثر - الخطر لا يزال مرتفعا
حوادث قرصنة ديفي في 2021
سوق Looksrare NFT تتنافس مع أوبن سي