Die Sicherheitsanfälligkeit für ausstehende Bestellungen auf Opensea wurde ausgenutzt und bedeutet einen Verlust von Millionen von Dollar

【TL; DR】

1. Am 24. Januar 2022 wurde Opensea, die weltweit größte NFT-Handelsplattform, gehackt, was zu einem Verlust von fast 1 Million $ führte.

2. Es gibt eine Sicherheitslücke für ausstehende Bestellungen im Frontend von OpenSea, und die ausstehende Bestellung, die nicht in der Kette storniert wurde, ist immer noch vorhanden. Wenn ein Nutzer NFTs transferiert, ohne eine Gasgebühr zu zahlen und den ausstehenden Auftrag storniert, ist er/sie einem Vermögensrisiko ausgesetzt, wenn er/sie NFTs zurück auf ein OpenSea-Konto transferiert.

3. Laut den offiziellen Daten von OpenSea vom Donnerstag hat OpenSea 750 ETH für insgesamt 130 Wallet-Besitzer entschädigt.

4. Zusätzlich zu den Verlusten, die durch Hacker-Hacks verursacht wurden, sorgte OpenSea in letzter Zeit für Unzufriedenheit in der Gemeinschaft aufgrund seiner Vorbereitung auf die Börsennotierung.


Am 24. Januar 2022 wurde Opensea, die weltweit größte NFT-Handelsplattform, gehackt, was zu einem Verlust von fast 1 Million $ führte.

Als sich der Vorfall ereignete, stellten viele Benutzer fest, dass ihr NFTs zu einem sehr günstigen Preis gekauft und schnell zu einem hohen Preis weiterverkauft wurden. Zum Beispiel ist bekannt, dass der niedrigste Verkaufspreis für Bored Apes 198.000$ beträgt. Allerdings wurden die gelangweilten Affen eines Benutzers für 1800$ gekauft und 20 Minuten später für 196.000$ verkauft. Offensichtlich hat der Hacker die Verwundbarkeit der Opensea-Plattform ausgenutzt, um günstig einzukaufen und NFTs anderer teurer zu verkaufen, um einen hohen Preisunterschied zu erzielen.

Zu den niedrig gekauften und hoch verkauften NFT-Vermögenswerten gehören Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats und Cyberkongz NFTs. Zum Beispiel wurde die Sicherheitsanfälligkeit am 25. gegen 7:00 Uhr von Hackern ausgenutzt, sodass Bored Ape Yacht Club NFT #9991 zu einem sehr günstigen Preis von 0,77 ETH gekauft und dann wieder zu einem normalen Preis von 84,2 ETH verkauft wurde.



Zusätzlich zu OpenSea wurde auch Rarible, ein weiterer Mainstream-NFT-Handelsmarkt, in derselben Form gehackt. Es wird berichtet, dass der Grund, warum die beiden NFT-Märkte ähnlich gehackt werden, darin besteht, dass Rarible auch eine API von OpenSea verwendet, um NFTs zu starten. Es gibt Schlupflöcher in dieser API, was die ausstehende Bestellung ungewöhnlich macht.

Im Falle eines normalen Angebots werden die Signaturinformationen beim Verkauf von NFTs vorübergehend auf dem OpenSea-Server gespeichert. Auf diese Daten kann über API zugegriffen werden und sie werden ungültig, nachdem die Transaktion normalerweise abgeschlossen ist. Aufgrund von Lücken im Mechanismus kann jedoch die ausstehende Bestellung, mit der die Transaktion auf OpenSea abgeschlossen wurde, immer noch aktiv sein. Sobald der NFT-Käufer die NFTs wieder an OpenSea weitergibt, wird dies von Hackern ausgenutzt, um NFTs mit dem ursprünglichen Angebot zu kaufen. Da das vorherige Angebot erstellt wurde, als der NFT-Preis noch sehr niedrig war, konnten Hacker NFT zu einem extrem niedrigen Preis kaufen und es schnell zum Marktpreis verkaufen.



Als sich der Vorfall ereignete, suchten eine Reihe von Nutzern mit geschädigten Interessen ängstlich Hilfe in den sozialen Medien. Die folgende Abbildung ist der ursprüngliche Besitzer des Bored Ape Yacht Club NFT #9991, der oben erwähnt wurde. Darüber hinaus gaben viele Benutzer an, dass ihr NFT zu einem abgelaufenen Preis gekauft wurde.

Wenn Benutzer entscheiden, ausstehende Bestellungen zu stornieren, verschwinden die ausstehenden Bestellungen erst, wenn Benutzer entscheiden, die ausstehenden Bestellungen zu stornieren. Wenn Benutzer nur NFTs auf andere Wallets übertragen, ohne die ausstehenden Bestellungen zu stornieren (um Gasgebühren zu vermeiden), können die ursprünglichen nicht gelöschten ausstehenden Bestellungen ausgenutzt werden, wenn sie NFTs zurück an OpenSea übertragen.

Nach dem Vorfall hat ein Twitter-Nutzer mit dem Spitznamen" bor4edape93 einen Screenshot" gepostet, in dem er mitteilte, dass er die Sicherheitsanfälligkeit im Juni 2021 entdeckt und sie den OpenSea-Beamten gemeldet hatte. Opensea hat diesem Problem jedoch offensichtlich keine Aufmerksamkeit geschenkt und sich nicht mit der Sicherheitsanfälligkeit befasst, die schließlich zu dem Hacker-Vorfall führte. Laut Handelsinformationen von Opensea lautet die Konto-ID eines mutmaßlichen Hackers" jpegdegenlove", welche auf diese Weise in wenigen Stunden mehr als 800.000$ einbrachte. Derzeit ist kein Zugriff auf die Startseite des Kontos möglich.

Wie zuvor waren sich NFT-Inhaber des Vorhandenseins dieser Sicherheitsanfälligkeit nicht bewusst. Sobald sie die zuvor gekauften NFTs zurück an OpenSea übertragen hatten, wären ihre Vermögenswerte gefährdet. Laut den Nachrichten vom 28. Januar haben OpenSea-Beamte Benutzer, die ihre alten Bestellungen nicht storniert haben, per E-Mail kontaktiert, um sie daran zu erinnern, ihre ursprünglichen Bestellungen in der Kette zu stornieren. Darüber hinaus hat OpenSea 750 ETHs für insgesamt 130 Wallet-Besitzer entschädigt, laut Daten, die von OpenSea-Beamten vom Donnerstag bereitgestellt wurden.


Opensea wurde 2017 gegründet und ist der größte NFT-Handelsmarkt der Welt. Benutzer können NFTs auf OpenSea übertragen, NFT-Werke tauschen und versteigern. Auf diesem NFT-Handelsmarkt gibt es viele Arten von NFTs, die gehandelt werden können, wie digitale Kunst, Sammlerstücke, Spielgegenstände, Domainnamen und sogar digitale Formen physischer Vermögenswerte. Im Wesentlichen ist OpenSea die NFT-Version von Taobao. Auf Taobao kaufen die Leute alle Arten von physischen Gütern, während auf OpenSea die Leute mit verschiedenen Arten von digitalen Assets handeln. Da die NFT-Branche in diesem Jahr aufgrund verschlüsselter Kunstwerke, verschlüsselter Avatare und virtueller Immobilien immer wieder viel Aufmerksamkeit auf sich gezogen hat, steigt auch die Zahl der Opensea-Nutzer. Gegenwärtig hat die Zahl der monatlich aktiven Opensea-Nutzer 200.000 erreicht.

Zusätzlich zu den Verlusten, die durch Hacker-Hacks verursacht wurden, hat Opensea in letzter Zeit auch viele andere Auseinandersetzungen erlebt. Am 6. Dezember letzten Jahres gab Brian Roberts, der neue CFO von OpenSea, bekannt, dass das Unternehmen den Börsengang aktiv fördert. Dieses Verhalten wird von der Verschlüsselungsgemeinschaft als Verrat an ihren Benutzern angesehen. Fans von Verschlüsselung unterstützen das schnelle Wachstum der Plattform. Sie hoffen, dass OpenSea Governance-Tokens über Airdrops verteilen kann, genau wie der Ethereum-Domainnamen-Service ENS und Rarible, eine weitere NFT-Handelsplattform.

Um gegen OpenSea zu protestieren, hat die Community am 24. Dezember OpenDAO ins Leben gerufen und wird den Governance-Token SOS an alle Benutzer senden, die mit OpenSea interagiert haben. Die Anzahl der Luftabfälle hängt vom Grad der Nutzer ab, die OpenSea nutzen. Die Gesamtauflage der SOS-Tokens beträgt 100 Billionen, wovon 50% für Airdrops, 20% für Einsatzprämien, 10% für Liquiditätsmining-Prämien und 20% für die tägliche Wartung durch Benutzer Dao verwendet werden.

Am 26. Dezember antworteten auch OpenSea-Beamte. Einerseits, obwohl OpenSea-Beamte nichts mit SOS-Token Airdrops zu tun hatten, bestätigte OpenSea den Beitrag der Community. Andererseits erinnert OpenSea aufgrund des inoffiziellen Hintergrunds von SOS-Tokens die Benutzer auch an die Risiken im Zusammenhang mit SOS-Tokens.



Autor: Gate.io Beobachter: Edward.H
Haftungsausschluss:
* Dieser Artikel gibt nur die Ansichten der Beobachter wieder und stellt keine Anlagevorschläge dar.
*Gate.io behält sich alle Rechte an diesem Artikel vor. Das erneute Posten des Artikels ist erlaubt, sofern auf Gate.io verwiesen wird. In allen anderen Fällen werden rechtliche Schritte wegen einer Urheberrechtsverletzung eingeleitet.


Gate.io Ausgewählte Artikel der Woche
Eine Analyse der Sicherheitsanfälligkeit in SQUID-Spielverträgen — Das Risiko ist nach wie vor hoch
DeFi-Hacking-Vorfälle im Jahr 2021
LookShare NFT Marketplace konkurriert mit OpenSea