Openseada Bekleyen Emir Güvenlik Açığı Kullanılarak Milyonlarca Dolar Kaybedildi

1. 24 Ocak 2022'de dünyanın en büyük NFT ticaret platformu olan Opensea saldırıya uğradı ve yaklaşık 1 milyon dolarlık bir kayıpla sonuçlandı.
2. OpenSea'nin ön ucunda hazırlanan işlemler için güvenlik açığı var ve zincirde iptal edilmemiş bekleyen işlemler hala var. Bir kullanıcı, NFT'den gaz ücreti ödemeden ve bekleyen işlemi iptal ederse, bir OpenSea hesabına NFT'ye geri aktarırken varlık riskiyle karşı karşıya kalacaktır.
3. OpenSea'nin Perşembe günü sağlanan resmi verilerine göre, OpenSea toplam 130 cüzdan sahibi için 750 ETH'yi telafi etti.
4. Hacker saldırılarının neden olduğu kayıplara ek olarak, OpenSea son zamanlarda listelenmeye hazır olması nedeniyle toplulukta memnuniyetsizliğe neden oldu.

24 Ocak 2022'de dünyanın en büyük NFT ticaret platformu olan Opensea saldırıya uğradı ve yaklaşık 1 milyon dolarlık bir kayıpla sonuçlandı.

Olay meydana geldiğinde, birçok kullanıcı NFT'lerinin çok düşük bir fiyata satın alındığını ve hızla yüksek bir fiyata yeniden satıldığını gördü. Örneğin, Bored Apes'in en düşük satış fiyatının 198.000 $ olduğu iyi bilinmektedir. Ancak, bir kullanıcının Bored Apes'i 1800 dolara satın alındı ve 20 dakika sonra 196.000 dolara satıldı. Açıkça, bilgisayar korsanı, yüksek bir fiyat farkı elde etmek için düşük fiyattan satın almak ve diğerlerinin NFT'sini yüksekten satmak için Opensea platformunun güvenlik açığından yararlandı. Düşükten alınan ve yüksekten satılan NFT varlıkları arasında Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats ve Cyberkongz NFT'ler bulunuyor. Örneğin, güvenlik açığı bilgisayar korsanları tarafından 25'inde saat 7:00 civarında istismar edildi, böylece Bored Ape Yacht Club NFT #9991, 0.77ETH gibi çok düşük bir fiyattan satın alındı ve ardından normal bir fiyat olan 84.2ETH'den tekrar satıldı.


OpenSea'ye ek olarak, başka bir ana NFT ticaret pazarı olan Rarible de aynı biçimde saldırıya uğradı. İki NFT pazarının da benzer şekilde saldırıya uğramasının nedeninin, Rarible'ın NFT'yi başlatmak için OpenSea'den bir API kullanması olduğu bildiriliyor. Bu API'de bekleyen işlemi anormal yapan boşluklar var.

Normal listeleme durumunda, NFT satarken imza bilgileri geçici olarak OpenSea sunucusunda saklanmaktadır. Bu verilere API üzerinden erişilebilir ve işlem normal olarak tamamlandıktan sonra geçersiz olacaktır. Ancak mekanizmadaki boşluklar nedeniyle OpenSea'de işlemi tamamlamış bekleyen emir hala aktif olabilir. NFT alıcısı NFT'yi tekrar OpenSea'ye çevirdiğinde, bu, bilgisayar korsanları tarafından orijinal teklifle NFT satın almak için kullanılacaktır. Önceki fiyat teklifi NFT fiyatı hala çok düşükken oluşturulduğundan, bilgisayar korsanları NFT'yi ultra düşük bir fiyattan satın alabildiler ve piyasa fiyatından hızla satabildiler.


Olay meydana geldiğinde, çıkarları zarar gören çok sayıda kullanıcı endişeyle sosyal medyadan yardım istedi. Aşağıdaki şekil, yukarıda bahsedilen Bored Ape Yacht Club NFT #9991'in asıl sahibidir. Ayrıca birçok kullanıcı, NFT'lerinin süresi dolmuş bir fiyata satın alındığını söyledi.

Kullanıcılar, bekleyen emirleri fiilen iptal etmeden (gaz ücretinden kaçınmak için) yalnızca NFT'leri diğer cüzdanlara aktarırsa, NFT'yi OpenSea'ye geri aktardıklarında orijinal silinmemiş bekleyen emirler kullanılabilir.

Olaydan sonra "bor4edape93" lakaplı bir twitter kullanıcısı, Haziran 2021'de güvenlik açığını keşfettiğini ve OpenSea yetkililerine bildirdiğini söyleyen bir ekran görüntüsü yayınladı. Ancak Opensea açıkçası bu konuya dikkat etmedi ve sonunda hack olayına yol açan güvenlik açığıyla ilgilenmedi. Opensea ticaret bilgilerine göre, şüpheli bir bilgisayar korsanının hesap kimliği, birkaç saat içinde bu şekilde 800.000 dolardan fazla kazanan "jpegdegenlove". Şu anda, hesap ana sayfasına erişilemiyor.

Daha önce NFT sahipleri bu güvenlik açığının varlığından haberdar olmadıklarından, önceden satın alınan NFT'yi OpenSea'ye geri aktardıklarında varlıkları risk altında olacaktı. 28 Ocak tarihli habere göre OpenSea yetkilileri, eski emirleri iptal etmeyen kullanıcılara zincirdeki orijinal emirlerini iptal etmelerini hatırlatmak için e-posta yoluyla iletişime geçti. Ek olarak, OpenSea yetkilileri tarafından Perşembe günü sağlanan verilere göre OpenSea, toplam 130 cüzdan sahibi için 750 ETH'yi telafi etti.


2017 yılında kurulan Opensea, dünyanın en büyük NFT ticaret pazarıdır. Bu NFT ticaret pazarında, dijital sanat, koleksiyon ürünleri, oyun öğeleri, alan adları ve hatta fiziksel varlıkların dijital biçimleri gibi ticareti yapılabilecek birçok NFT türü vardır. Özünde OpenSea, Taobao'nun NFT versiyonudur. Taobao'da insanlar her türlü fiziksel malları satın alırken, OpenSea'da insanlar farklı türlerde dijital varlık ticareti yapıyor. NFT endüstrisi, şifreli sanat eserleri, şifreli avatarlar ve sanal gayrimenkul nedeniyle bu yıl tekrar tekrar çok dikkat çekerken, Opensea kullanıcılarının sayısı da artıyor. Şu anda Opensea'nın aylık aktif kullanıcı sayısı 200.000'e ulaştı.

Ancak Opensea, hacker saldırılarının neden olduğu kayıplara ek olarak, son zamanlarda birçok başka anlaşmazlıkla da karşılaştı. Geçen yıl 6 Aralık'ta OpenSea'nin yeni CFO'su Brian Roberts, şirketin halka arzı aktif olarak desteklediğini açıkladı. Bu davranış, şifreleme topluluğu tarafından kullanıcılarına ihanet olarak kabul edilir. Şifreleme hayranları, platformun hızlı büyümesini destekler. OpenSea'nın, tıpkı Ethereum alan adı hizmeti ENS ve başka bir NFT ticaret platformu olan Rarible gibi, yönetişim tokenlerini airdrop yoluyla dağıtabileceğini umuyorlar.

OpenSea'yi protesto etmek için topluluk, 24 Aralık'ta OpenDAO'yu başlattı ve yönetim tokeni SOS'u OpenSea ile etkileşime giren tüm kullanıcılara dağıtacak. Airdrop, OpenSea kullanan kullanıcıların derecesi ile ilgilidir. SOS tokenlerinin toplam sirkülasyonu 100 trilyon olup, bunun %50'si airdrop için, %20'si stake ödülü için, %10'u kullanıcı likidite madenciliği ödülü için ve %20'si kullanıcı Dao günlük bakımı için kullanılacaktır.

26 Aralık'ta OpenSea yetkilileri de yanıt verdi. Bir yandan, OpenSea yetkililerinin SOS token airdrop ile hiçbir ilgisi olmamasına rağmen, OpenSea topluluğun katkısını doğruladı; Öte yandan, SOS tokenlerinin resmi olmayan arka planı nedeniyle OpenSea, kullanıcılara SOS tokenleri ile ilgili riskleri de hatırlatıyor.


Yazar: Gate.io Gözlemci: Edward.H
Feragatname:
* Bu yazı sadece gözlemcilerin görüşlerini yansıtmakta olup herhangi bir yatırım önerisi niteliği taşımamaktadır.
*Gate.io bu makalenin tüm haklarını saklı tutar. Gate.io'ya atıfta bulunulması koşuluyla makalenin yeniden yayınlanmasına izin verilecektir. Diğer tüm durumlarda, telif hakkı ihlali nedeniyle yasal işlem yapılacaktır.