La vulnerabilidad de los pedidos pendientes en Opensea fue explotada, lo que supuso una pérdida de millones de dólares

1. El 24 de enero de 2022, Opensea, la mayor plataforma de comercio de NFT del mundo, fue hackeada, lo que provocó una pérdida de casi un millón de dólares.

2. Hay una vulnerabilidad de órdenes pendientes en el front-end de OpenSea, y la orden pendiente que no ha sido cancelada en la cadena todavía existe. Si un usuario transfiere fuera de NFT sin pagar la tasa de gas y cancelar la orden pendiente, se encontrará con el riesgo de activos cuando transfiera de nuevo a NFT a una cuenta de OpenSea.

3. Según los datos oficiales de OpenSea proporcionados el jueves, OpenSea ha compensado 750 ETH para un total de 130 propietarios de carteras.

4. Además de las pérdidas causadas por los hackeos de los hackers, OpenSea ha causado recientemente el descontento de la comunidad debido a su preparación para la cotización.

El 24 de enero de 2022, Opensea, la mayor plataforma de comercio de NFT del mundo, fue hackeada, lo que provocó una pérdida de casi un millón de dólares.

Cuando se produjo el incidente, muchos usuarios descubrieron que su NFT se compraba a un precio muy bajo y se revendía rápidamente a un precio elevado. Por ejemplo, es bien sabido que el precio de venta más bajo de Bored Apes es de 198.000 dólares. Sin embargo, los Bored Apes de un usuario fueron comprados por 1800 dólares y vendidos por 196.000 dólares 20 minutos después. Obviamente, el hacker se aprovechó de la vulnerabilidad de la plataforma Opensea para comprar a la baja y vender a la alta los NFT de otros para ganar una gran diferencia de precio. Entre los activos NFT que se compran a la baja y se venden a la alta se encuentran Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats y Cyberkongz NFT. Por ejemplo, la vulnerabilidad fue explotada por los hackers alrededor de las 7:00 del día 25, por lo que la NFT #9991 de Bored Ape Yacht Club fue comprada a un precio muy bajo de 0,77ETH y luego vendida de nuevo a un precio normal de 84,2ETH.

Además de OpenSea, Rarible, otro mercado de negociación de NFT de gran importancia, también ha sido hackeado de la misma forma. Se ha informado de que la razón por la que los dos mercados de NFT han sido hackeados de forma similar es que Rarible también utiliza una API de OpenSea para lanzar NFT. Hay lagunas en esta API, lo que hace que la orden pendiente sea anormal.

En el caso de la cotización normal, la información de la firma al vender NFT se almacenará temporalmente en el servidor de OpenSea. Se puede acceder a estos datos a través de la API y se invalidarán después de que la transacción se complete normalmente. Sin embargo, debido a las lagunas del mecanismo, la orden pendiente que ha completado la transacción en OpenSea puede seguir activa. Una vez que el comprador de NFT devuelva la NFT a OpenSea, esto será aprovechado por los hackers para comprar NFT con la oferta original. Dado que la oferta anterior se generó cuando el precio del NFT era todavía muy bajo, los hackers pudieron comprar NFT a un precio ultrabajo y venderlo rápidamente al precio de mercado.

Cuando se produjo el incidente, varios usuarios con intereses dañados buscaron ansiosamente ayuda en las redes sociales. El siguiente personaje es el propietario original de la NFT #9991 de Bored Ape Yacht Club mencionada anteriormente. Además, muchos usuarios dijeron que su NFT se compró a un precio caducado.

Cuando los usuarios decidan cancelar las órdenes pendientes, éstas desaparecerán sólo cuando los usuarios decidan cancelar las órdenes pendientes. Si los usuarios sólo transfieren NFT a otros monederos sin cancelar realmente las órdenes pendientes (para evitar la tasa de gas), las órdenes pendientes originales no eliminadas pueden ser explotadas cuando transfieran NFT de nuevo a OpenSea.

Tras el incidente, un usuario de Twitter apodado "bor4edape93" publicó una captura de pantalla en la que afirmaba haber descubierto la vulnerabilidad en junio de 2021 y haberla comunicado a los responsables de OpenSea. Sin embargo, es evidente que Opensea no prestó atención a este problema y no se ocupó de la vulnerabilidad, lo que finalmente condujo al incidente de los hackers. Según la información comercial de Opensea, el ID de la cuenta de un presunto hacker es "jpegdegenlove", que ganó más de 800.000 dólares de esta manera en unas pocas horas. En la actualidad, la página de inicio de la cuenta es inaccesible.

Como los titulares de NFT anteriores no conocían la existencia de esta vulnerabilidad, una vez que transfirieran a OpenSea los NFT previamente adquiridos, sus activos estarían en peligro. Según las noticias del 28 de enero, los responsables de OpenSea se han puesto en contacto con los usuarios que no han cancelado sus antiguos pedidos por correo electrónico para recordarles que deben cancelar sus pedidos originales en la cadena. Además, OpenSea ha compensado 750ETHs a un total de 130 propietarios de carteras, según los datos proporcionados por los funcionarios de OpenSea el jueves.

Opensea, fundada en 2017, es el mayor mercado de comercio de NFT del mundo. Los usuarios pueden lanzar NFT en OpenSea, comerciar y subastar obras NFT. En este mercado de comercio de NFT, hay muchos tipos de NFT que se pueden intercambiar, como arte digital, objetos de colección, artículos de juegos, nombres de dominio e incluso formas digitales de activos físicos. En esencia, OpenSea es la versión NFT de Taobao. En Taobao, la gente compra todo tipo de bienes físicos, mientras que en OpenSea, la gente intercambia diferentes tipos de activos digitales. Como la industria de las NFT ha atraído mucha atención una y otra vez este año debido a las obras de arte encriptadas, los avatares encriptados y los bienes inmuebles virtuales, el número de usuarios de Opensea también está aumentando. En la actualidad, el número de usuarios activos mensuales de Opensea ha alcanzado los 200.000.

Sin embargo, además de las pérdidas causadas por los hackeos de los piratas informáticos, Opensea también se encontró con muchas otras disputas recientemente. El 6 de diciembre del año pasado, Brian Roberts, el nuevo director financiero de OpenSea, reveló que la empresa estaba promoviendo activamente la salida a bolsa. Este comportamiento es considerado por la comunidad de encriptadores como una traición a sus usuarios. Los aficionados al cifrado apoyan el rápido crecimiento de la plataforma. Esperan que OpenSea pueda distribuir tokens de gobernanza a través de airdrop, al igual que el servicio de nombres de dominio Ethereum ENS y Rarible, otra plataforma de comercio de NFT.

Para protestar contra OpenSea, la comunidad lanzó OpenDAO el 24 de diciembre y lanzará al aire el token de gobierno SOS a todos los usuarios que hayan interactuado con OpenSea. El número de lanzamientos aéreos está relacionado con el grado de usuarios que utilizan OpenSea. La circulación total de los tokens SOS es de 100 billones, de los cuales el 50% se utilizará para el lanzamiento aéreo, el 20% para la recompensa de las apuestas, el 10% para la recompensa de la minería de liquidez de los usuarios y el 20% para el mantenimiento diario del Dao de los usuarios.

El 26 de diciembre, los funcionarios de OpenSea también respondieron. Por un lado, aunque los funcionarios de OpenSea no tenían nada que ver con el lanzamiento aéreo de tokens SOS, OpenSea afirmó la contribución de la comunidad; por otro lado, debido a los antecedentes no oficiales de los tokens SOS, OpenSea también recuerda a los usuarios los riesgos relacionados con los tokens SOS.

Autor: Gate.io Observador: Edward.H. Traductor: Jose E.

Descargo de responsabilidad:

*Este artículo representa únicamente las opiniones de los observadores y no constituye ninguna sugerencia de inversión.

*Gate.io se reserva todos los derechos de este artículo. El reenvío del artículo se permitirá siempre que se haga referencia a Gate.io. En todos los demás casos, se emprenderán acciones legales por infracción de los derechos de autor.

Artículos destacados de la semana en Gate.io

Análisis de la vulnerabilidad del contrato del juego SQUID - El riesgo sigue siendo alto

Incidentes de piratería informática de DeFi en 2021

Looksrare NFT Marketplace compite con OpenSea