ыла использована уязвимость отложенного ордеразаказа на Opensea, что привело к потере миллионов долларов

1. 24 января 2022 года Opensea, крупнейшая в мире торговая платформа NFT, была взломана, что привело к потере почти 1 миллиона долларов.

2. Существует уязвимость отложенного ордера в фронтеде OpenSea, и отложенный ордер, который не был отменен в блокчейне, все еще существует. Если пользователь переводит средства из NFT без уплаты комиссии за перевод и отмены отложенного ордера, он столкнется с риском потери активов при переводе обратно в NFT на счет OpenSea.

3. Согласно официальным данным OpenSea, предоставленным в четверг, OpenSea компенсировала 750 ETH в общей сложности 130 владельцам кошельков.

4. В дополнение к потерям, вызванным хакерскими взломами, OpenSea недавно вызвала недовольство сообщества в связи с подготовкой к листингу.

24 января 2022 года Opensea, крупнейшая в мире торговая платформа NFT, была взломана, что привело к потере почти 1 миллиона долларов.

Когда произошел инцидент, многие пользователи обнаружили, что их NFT был куплен по очень низкой цене и быстро перепродан по высокой цене. Например, хорошо известно, что самая низкая цена продажи Bored Apes составляет $198 000. Однако Bored Ape одного пользователя былf купленf за $1800 и проданf за $196 000 20 минут спустя. Очевидно, что хакер воспользовался уязвимостью платформы Opensea, чтобы покупать по низкой цене и продавать чужие NFT по высокой, чтобы заработать большую разницу в цене. Активы NFT, которые покупаются по низким ценам и продаются по высоким, включают NFT Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats и Cyberkongz. Например, уязвимость была использована хакерами около 7:00 25 числа, так что Bored Ape Yacht Club NFT #9991 был куплен по очень низкой цене 0.77ETH, а затем снова продан по нормальной цене 84.2ETH.

В дополнение к OpenSea, Rarible, другой основной рынок торговли NFT, также был взломан в такой же форме. Сообщается, что причина, по которой два рынка NFT были одинаково взломаны, заключается в том, что Rarible также использует API от OpenSea для запуска NFT. В этом API есть лазейки, что делает отложенный ордер ненормальным.

В случае обычного листинга, информация о подписи при продаже NFT будет временно храниться на сервере OpenSea. Эти данные могут быть доступны через API и будут аннулированы после нормального завершения транзакции. Однако, из-за лазеек в механизме, отложенный ордер, завершивший сделку на OpenSea, может оставаться активным. Как только покупатель NFT вернет NFT обратно в OpenSea, этим воспользуются хакеры, чтобы купить NFT по первоначальному предложению. Поскольку предыдущая котировка была создана, когда цена NFT была еще очень низкой, хакеры смогли купить NFT по сверхнизкой цене и быстро продать их по рыночной цене.

Когда произошел инцидент, ряд пользователей с потерями ис тревогой обратились за помощью в социальных сетях. На следующем рисунке изображен первоначальный владелец NFT Bored Ape Yacht Club #9991, упомянутой выше. Кроме того, многие пользователи говорили, что их NFT был куплен по просроченной цене.

Отложенные ордера исчезнут только тогда, когда пользователи решат отменить отложенные ордера. Если пользователи только переводят NFT на другие кошельки, фактически не отменяя отложенные ордера (чтобы избежать комиссии за газ), исходные не удаленные отложенные ордера могут быть использованы, когда они переводят NFT обратно в OpenSea.

После инцидента пользователь Твиттера под ником "bor4edape93" опубликовал скриншот, сообщив, что он обнаружил уязвимость в июне 2021 года и сообщил о ней должностным лицам OpenSea. Однако компания Opensea, очевидно, не обратила внимания на эту проблему и не устранила уязвимость, что в конечном итоге привело к хакерскому инциденту. Согласно торговой информации Opensea, идентификатор счета подозреваемого хакера - "jpegdegenlove", который за несколько часов заработал таким образом более $800 000. В настоящее время главная страница счета недоступна.

Поскольку ранее владельцы NFT не знали о существовании этой уязвимости, после того, как они передадут ранее приобретенные NFT обратно в OpenSea, их активы окажутся под угрозой. Согласно новостям от 28 января, официальные представители OpenSea связались с пользователями, которые не отменили свои старые ордерыы по электронной почте, чтобы напомнить им об отмене их первоначальных заказов в сети. Кроме того, OpenSea компенсировала 750ETH в общей сложности 130 владельцам кошельков, согласно данным, предоставленным официальными представителями OpenSea в четверг.

Opensea, основанная в 2017 году, является крупнейшим рынком торговли NFT в мире. Пользователи могут разыгрывать NFT на OpenSea, торговать и выставлять на аукцион работы NFT. На этом рынке торговли NFT существует множество видов NFT, которыми можно торговать, например, цифровое искусство, коллекционные предметы, игровые предметы, доменные имена и даже цифровые формы физических активов. По сути, OpenSea — это NFT-версия Taobao. На Taobao люди покупают все виды физических товаров, в то время как на OpenSea люди торгуют различными видами цифровых активов. Поскольку в этом году индустрия NFT снова и снова привлекала к себе большое внимание благодаря произведениям искусства, аватарам и виртуальной недвижимости, число пользователей Opensea также растет. В настоящее время количество ежемесячных активных пользователей Opensea достигло 200 000.

Однако, помимо убытков, вызванных хакерскими взломами, Opensea в последнее время столкнулась и со многими другими спорами. 6 декабря прошлого года Брайан Робертс, новый финансовый директор OpenSea, сообщил, что компания активно продвигает IPO. Такое поведение рассматривается сообществом криптовалюты как предательство своих пользователей. Любители криптовалют поддерживают быстрый рост платформы. Они надеются, что OpenSea сможет распространять токены управления через эйрдроп, подобно Ethereum-сервису доменных имен ENS и Rarible, другой торговой платформе NFT.

В знак протеста против OpenSea сообщество 24 декабря запустило OpenDAO и выпустит в эфир токен управления SOS для всех пользователей, которые взаимодействовали с OpenSea. Количество вэйрдропв связано со степенью использования OpenSea пользователями. Общий оборот токенов SOS составляет 100 триллионов, из которых 50% будет использовано для эйдропа, 20% - для вознаграждения за стейкинг, 10% - для вознаграждения за майнинг ликвидности пользователя, и 20% - для ежедневного обслуживания пользователя DAO.

26 декабря официальные представители OpenSea также ответили. С одной стороны, хотя официальные лица OpenSea не имеют никакого отношения к вбросу токенов SOS, OpenSea подтвердила вклад сообщества; с другой стороны, из-за неофициального происхождения токенов SOS, OpenSea также напоминает пользователям о рисках, связанных с токенами SOS.

Автор: Gate.io Аналитик: Edward.H

Отказ от ответственности:

* Данная статья представляет только мнение обозревателей и не является инвестиционным предложением.

*Gate.io оставляет за собой все права на эту статью. Перепечатка статьи будет разрешена при условии ссылки на Gate.io. Во всех остальных случаях будут предприняты юридические действия в связи с нарушением авторских прав.