ช่องโหว่ของคำสั่งซื้อรอดำเนินการใน Opensea ถูกเอารัดเอาเปรียบ สูญนับล้�

【TL; DR】

1. เมื่อวันที่ 24 มกราคม พ.ศ. 2565 Opensea ซึ่งเป็นแพลตฟอร์มการซื้อขาย NFT ที่ใหญ่ที่สุดในโลก ถูกแฮ็ก ส่งผลให้ขาดทุนเกือบ 1 ล้านดอลลาร์

2. มีช่องโหว่ของคำสั่งซื้อที่รอดำเนินการในส่วนหน้าของ OpenSea และคำสั่งซื้อที่รอดำเนินการที่ยังไม่ได้ยกเลิกในห่วงโซ่ยังคงมีอยู่ หากผู้ใช้โอนออกจาก NFT โดยไม่จ่ายค่าธรรมเนียมน้ำมันและยกเลิกคำสั่งซื้อที่รอดำเนินการ เขา/เธอจะต้องเผชิญกับความเสี่ยงด้านสินทรัพย์เมื่อโอนกลับไปยัง NFT ไปยังบัญชี OpenSea

3. ตามข้อมูลอย่างเป็นทางการของ OpenSea เมื่อวันพฤหัสบดี OpenSea ได้ชดเชย 750 ETHs สำหรับเจ้าของกระเป๋าเงินทั้งหมด 130 ราย

4. นอกเหนือจากความสูญเสียที่เกิดจากการแฮ็กของแฮ็กเกอร์แล้ว OpenSea เพิ่งทำให้ชุมชนไม่พอใจเนื่องจากการเตรียมตัวสำหรับรายชื่อ

เมื่อวันที่ 24 มกราคม พ.ศ. 2565 Opensea ซึ่งเป็นแพลตฟอร์มการซื้อขาย NFT ที่ใหญ่ที่สุดในโลก ถูกแฮ็ก ส่งผลให้ขาดทุนเกือบ 1 ล้านดอลลาร์

เมื่อเหตุการณ์เกิดขึ้น ผู้ใช้จำนวนมากพบว่า NFT ของพวกเขาถูกซื้อในราคาที่ต่ำมากและขายต่อในราคาที่สูงอย่างรวดเร็ว ตัวอย่างเช่น เป็นที่ทราบกันดีว่าราคาขายต่ำสุดของ Bored Apes คือ 198,000 ดอลลาร์ อย่างไรก็ตาม Bored Apes ของผู้ใช้ถูกซื้อในราคา 1,800 ดอลลาร์ และขายในราคา 196,000 ดอลลาร์ในอีก 20 นาทีต่อมา เห็นได้ชัดว่าแฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ของแพลตฟอร์ม Opensea เพื่อซื้อต่ำและขาย NFT สูงของผู้อื่นเพื่อรับส่วนต่างราคาสูง สินทรัพย์ NFT ที่ซื้อต่ำและขายได้สูง ได้แก่ Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats และ Cyberkongz NFTs ตัวอย่างเช่น ช่องโหว่ดังกล่าวถูกใช้โดยแฮ็กเกอร์เมื่อเวลาประมาณ 07.00 น. ของวันที่ 25 ดังนั้น Bored Ape Yacht Club NFT #9991 จึงถูกซื้อในราคาที่ต่ำมาก 0.77ETH แล้วขายอีกครั้งในราคาปกติ 84.2ETH

นอกจาก OpenSea แล้ว Rarible ซึ่งเป็นตลาดซื้อขาย NFT หลักอื่น ๆ ยังถูกแฮ็กในรูปแบบเดียวกันอีกด้วย มีรายงานว่าสาเหตุที่ตลาด NFT สองแห่งถูกแฮ็กในทำนองเดียวกันคือ Rarible ยังใช้ API จาก OpenSea เพื่อเปิดตัว NFT มีช่องโหว่ใน API นี้ ซึ่งทำให้คำสั่งซื้อที่รอดำเนินการผิดปกติ

ในกรณีของรายการปกติ ข้อมูลลายเซ็นเมื่อขาย NFT จะถูกเก็บไว้ชั่วคราวบนเซิร์ฟเวอร์ OpenSea ข้อมูลนี้สามารถเข้าถึงได้ผ่าน API และจะถูกยกเลิกหลังจากการทำธุรกรรมเสร็จสมบูรณ์ตามปกติ อย่างไรก็ตาม เนื่องจากมีช่องโหว่ในกลไก คำสั่งซื้อที่รอดำเนินการซึ่งได้ทำธุรกรรมบน OpenSea เสร็จสิ้นแล้วอาจยังคงทำงานอยู่ เมื่อผู้ซื้อ NFT เปลี่ยน NFT กลับไปเป็น OpenSea แฮกเกอร์จะใช้ประโยชน์จากสิ่งนี้เพื่อซื้อ NFT ด้วยข้อเสนอเดิม เนื่องจากการเสนอราคาก่อนหน้านี้ถูกสร้างขึ้นเมื่อราคา NFT ยังคงต่ำมาก แฮกเกอร์จึงสามารถซื้อ NFT ในราคาที่ต่ำมากและขายได้อย่างรวดเร็วที่ราคาตลาด

เมื่อเหตุการณ์เกิดขึ้น ผู้ใช้จำนวนหนึ่งที่มีผลประโยชน์เสียหายได้ขอความช่วยเหลือบนโซเชียลมีเดียอย่างใจจดใจจ่อ รูปต่อไปนี้คือเจ้าของดั้งเดิมของ Bored Ape Yacht Club NFT #9991 ที่กล่าวถึงข้างต้น นอกจากนี้ ผู้ใช้หลายคนกล่าวว่า NFT ของพวกเขาถูกซื้อในราคาที่หมดอายุ

เมื่อผู้ใช้ตัดสินใจยกเลิกคำสั่งซื้อที่รอดำเนินการ คำสั่งซื้อที่รอดำเนินการจะหายไปเมื่อผู้ใช้ตัดสินใจยกเลิกคำสั่งซื้อที่รอดำเนินการเท่านั้น หากผู้ใช้โอนเฉพาะ NFTs ไปยังกระเป๋าอื่น ๆ โดยไม่ยกเลิกคำสั่งซื้อที่รอดำเนินการจริง (เพื่อหลีกเลี่ยงค่าธรรมเนียมน้ำมัน) คำสั่งซื้อที่รอดำเนินการเดิมที่ยังไม่ได้ลบอาจถูกใช้ประโยชน์เมื่อพวกเขาโอน NFT กลับไปที่ OpenSea

หลังจากเหตุการณ์ดังกล่าว ผู้ใช้ทวิตเตอร์ชื่อเล่น "bor4edape93" ได้โพสต์ภาพหน้าจอ โดยบอกว่าเขาค้นพบช่องโหว่ในเดือนมิถุนายน 2564 และรายงานต่อเจ้าหน้าที่ OpenSea อย่างไรก็ตาม เห็นได้ชัดว่า Opensea ไม่ได้ให้ความสนใจกับปัญหานี้และไม่ได้จัดการกับช่องโหว่นี้ ซึ่งนำไปสู่เหตุการณ์แฮ็กเกอร์ในที่สุด ตามข้อมูลการซื้อขายของ Opensea รหัสบัญชีของแฮ็กเกอร์ต้องสงสัยคือ "jpegdegenlove" ซึ่งทำเงินได้มากกว่า 800,000 ดอลลาร์ด้วยวิธีนี้ภายในเวลาไม่กี่ชั่วโมง ปัจจุบันไม่สามารถเข้าใช้หน้าแรกของบัญชีได้

เนื่องจากก่อนหน้านี้ผู้ถือ NFT ไม่ทราบถึงช่องโหว่นี้ เมื่อพวกเขาโอน NFT ที่ซื้อไปก่อนหน้านี้กลับไปยัง OpenSea ทรัพย์สินของพวกเขาจะตกอยู่ในความเสี่ยง ตามข่าวเมื่อวันที่ 28 มกราคม เจ้าหน้าที่ของ OpenSea ได้ติดต่อผู้ใช้ที่ไม่ได้ยกเลิกคำสั่งซื้อเดิมทางอีเมลเพื่อเตือนให้ยกเลิกคำสั่งซื้อเดิมบนเครือข่าย นอกจากนี้ OpenSea ได้ชดเชย 750ETHs สำหรับเจ้าของกระเป๋าเงินทั้งหมด 130 ราย ตามข้อมูลที่เจ้าหน้าที่ OpenSea ให้มาเมื่อวันพฤหัสบดี

Opensea ก่อตั้งขึ้นในปี 2560 เป็นตลาดซื้อขาย NFT ที่ใหญ่ที่สุดในโลก ผู้ใช้สามารถส่ง NFT บน OpenSea การค้าและการประมูลงาน NFT ในตลาดการซื้อขาย NFT นี้ มี NFT หลายประเภทที่สามารถซื้อขายได้ เช่น งานศิลปะดิจิทัล ของสะสม ไอเท็มในเกม ชื่อโดเมน และแม้แต่สินทรัพย์ทางกายภาพในรูปแบบดิจิทัล โดยพื้นฐานแล้ว OpenSea เป็นเวอร์ชัน NFT ของ Taobao ใน Taobao ผู้คนซื้อสินค้าที่จับต้องได้ทุกประเภท ในขณะที่ OpenSea ผู้คนซื้อขายสินทรัพย์ดิจิทัลประเภทต่างๆ เนื่องจากอุตสาหกรรม NFT ได้รับความสนใจอย่างมากครั้งแล้วครั้งเล่าจากผลงานศิลปะที่เข้ารหัส รูปประจำตัวที่เข้ารหัส และอสังหาริมทรัพย์เสมือนจริง จำนวนผู้ใช้ Opensea ก็เพิ่มขึ้นเช่นกัน ปัจจุบันมีผู้ใช้งาน Opensea ต่อเดือนถึง 200,000 ราย

อย่างไรก็ตาม นอกเหนือจากความสูญเสียที่เกิดจากการแฮ็กของแฮ็กเกอร์แล้ว Opensea ยังพบกับข้อพิพาทอื่นๆ อีกมากมายเมื่อเร็วๆ นี้ เมื่อวันที่ 6 ธันวาคมปีที่แล้ว Brian Roberts ซีเอฟโอคนใหม่ของ OpenSea เปิดเผยว่าบริษัทกำลังส่งเสริมการเสนอขายหุ้น IPO อย่างแข็งขัน พฤติกรรมนี้ถือว่าชุมชนการเข้ารหัสถือเป็นการทรยศต่อผู้ใช้ พัดลมเข้ารหัสสนับสนุนการเติบโตอย่างรวดเร็วของแพลตฟอร์ม พวกเขาหวังว่า OpenSea สามารถแจกจ่ายโทเค็นการกำกับดูแลผ่าน airdrop เช่นเดียวกับบริการชื่อโดเมน Ethereum ENS และ Rarible ซึ่งเป็นแพลตฟอร์มการซื้อขาย NFT อื่น

เพื่อเป็นการประท้วงต่อต้าน OpenSea ชุมชนได้เปิดตัว OpenDAO ในวันที่ 24 ธันวาคม และจะออกอากาศโทเค็นการกำกับดูแล SOS ให้กับผู้ใช้ทุกคนที่โต้ตอบกับ OpenSea จำนวนหยดอากาศนั้นสัมพันธ์กับระดับของผู้ใช้ที่ใช้ OpenSea การหมุนเวียนทั้งหมดของโทเค็น SOS คือ 100 ล้านล้าน โดย 50% จะถูกใช้สำหรับ airdrop, 20% สำหรับรางวัลการปักหลัก, 10% สำหรับรางวัลการขุดสภาพคล่องของผู้ใช้ และ 20% สำหรับการบำรุงรักษารายวันของผู้ใช้ Dao

เมื่อวันที่ 26 ธันวาคม เจ้าหน้าที่ของ OpenSea ก็ตอบกลับเช่นกัน ในอีกด้านหนึ่ง แม้ว่าเจ้าหน้าที่ของ OpenSea จะไม่มีส่วนเกี่ยวข้องกับ SOS token airdrop แต่ OpenSea ยืนยันถึงการมีส่วนร่วมของชุมชน ในทางกลับกัน เนื่องจากพื้นหลังที่ไม่เป็นทางการของโทเค็น SOS OpenSea ยังเตือนผู้ใช้ถึงความเสี่ยงที่เกี่ยวข้องกับโทเค็น SOS

ผู้แต่ง: Gate.io ผู้สังเกตการณ์: Edward.H

ข้อจำกัดความรับผิดชอบ:

* บทความนี้เป็นเพียงความคิดเห็นของผู้สังเกตการณ์เท่านั้น และไม่ถือเป็นข้อเสนอแนะในการลงทุนใดๆ

*Gate.io ขอสงวนสิทธิ์ทั้งหมดในบทความนี้ อนุญาตให้โพสต์บทความใหม่ได้หากมีการอ้างอิง Gate.io ในกรณีอื่นๆ ทั้งหมด จะดำเนินการทางกฎหมายเนื่องจากการละเมิดลิขสิทธิ์

Gate.io บทความเด่นประจำสัปดาห์

Analysis of the SQUID Game Contract Vulnerability - Risk Remains High

DeFi hacking incidents in 2021

Looksrare NFT Marketplace Competes with OpenSea