Було використано вразливість очікуваного замовлення на Opensea, що призвело до збитків мільйонів доларів

【TL; ЛІКАР】

1. 24 січня 2022 року Opensea, найбільшу у світі торгову платформу NFT, було зламано, що призвело до збитків у розмірі майже 1 мільйона доларів.
2. У інтерфейсі OpenSea є вразливість відкладеного ордера, і відкладене замовлення, яке не було скасовано в ланцюжку, все ще існує. Якщо користувач переходить з NFT без сплати комісії за газ і скасування очікуваного ордера, він/вона зіткнеться з ризиком активів під час переходу назад на NFT на обліковий запис OpenSea.
3. Згідно з офіційними даними OpenSea, наданими в четвер, OpenSea компенсувала 750 ETH загалом 130 власникам гаманців.
4. Окрім збитків від хакерських зломів, нещодавно OpenSea викликала невдоволення спільноти через підготовку до лістингу.

24 січня 2022 року Opensea, найбільшу у світі торгову платформу NFT, було зламано, що призвело до збитків у розмірі майже 1 мільйона доларів.

Коли стався інцидент, багато користувачів виявили, що їхні NFT були куплені за дуже низькою ціною та швидко перепродані за високою ціною. Наприклад, добре відомо, що найнижча ціна продажу Bored Apes становить 198 000 доларів. Однак Bored Apes користувача були куплені за 1800 доларів і продані за 196 000 доларів через 20 хвилин. Очевидно, хакер скористався вразливістю платформи Opensea, щоб купувати дешево та продавати чужі NFT дорого, щоб отримати високу різницю в ціні. NFT-активи, які купуються дешево і продаються дорого, включають Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats і Cyberkongz NFT. Наприклад, уразливість була використана хакерами близько 7:00 25 числа, тому Bored Ape Yacht Club NFT №9991 було придбано за дуже низькою ціною 0,77 ETH, а потім знову продано за звичайною ціною 84,2 ETH.


На додаток до OpenSea, Rarible, інший основний торговий ринок NFT, також був зламаний у тій же формі. Повідомляється, що причиною того, що обидва ринки NFT однаково зламані, є те, що Rarible також використовує API від OpenSea для запуску NFT. У цьому API є лазівки, через що відкладене замовлення є ненормальним.

У разі звичайного лістингу інформація про підписи під час продажу NFT буде тимчасово зберігатися на сервері OpenSea. Доступ до цих даних можна отримати через API, і вони стануть недійсними після звичайного завершення транзакції. Однак через лазівки в механізмі відкладений ордер, який завершив транзакцію на OpenSea, може все ще бути активним. Коли покупець NFT повертає NFT на OpenSea, хакери скористаються цим, щоб купити NFT за оригінальною пропозицією. Оскільки попереднє котирування було створено, коли ціна NFT була ще дуже низькою, хакери змогли купити NFT за наднизькою ціною та швидко продати його за ринковою ціною.


Коли стався інцидент, кілька користувачів із порушеними інтересами занепокоєно шукали допомоги в соціальних мережах. Наступна фігура є оригінальним власником яхт-клубу Bored Ape Yacht Club NFT №9991, згаданого вище. Крім того, багато користувачів сказали, що їхні NFT були куплені за простроченою ціною.

Коли користувачі вирішать скасувати відкладені замовлення, вони зникнуть лише тоді, коли користувачі вирішать скасувати відкладені замовлення. Якщо користувачі лише передають NFT в інші гаманці, фактично не скасовуючи відкладені ордери (щоб уникнути комісії за газ), вихідні невидалені відкладені ордери можуть бути використані під час передачі NFT назад до OpenSea.

Після інциденту користувач твіттера під ніком «bor4edape93» опублікував скріншот, у якому повідомив, що він виявив уразливість у червні 2021 року та повідомив про це представникам OpenSea. Однак Opensea, очевидно, не звернула увагу на цю проблему і не впоралася з уразливістю, що зрештою призвело до хакерського інциденту. Відповідно до торгової інформації Opensea, ідентифікатор облікового запису підозрюваного хакера — «jpegdegenlove», який заробив таким чином понад 800 000 доларів за кілька годин. Зараз домашня сторінка облікового запису недоступна.

Оскільки раніше власники NFT не знали про існування цієї вразливості, як тільки вони передадуть раніше придбані NFT назад до OpenSea, їхні активи опиниться під загрозою. Згідно з новинами від 28 січня, представники OpenSea зв’язалися з користувачами, які не скасували свої старі замовлення, електронною поштою, щоб нагадати їм скасувати свої початкові замовлення в мережі. Крім того, згідно з даними, наданими представниками OpenSea в четвер, OpenSea компенсувала 750 ETH загалом 130 власникам гаманців.


Opensea, заснована в 2017 році, є найбільшим торговим ринком NFT у світі. Користувачі можуть транслювати NFT на OpenSea, торгувати та виставляти на аукціон роботи NFT. На цьому торговому ринку NFT існує багато видів NFT, якими можна торгувати, наприклад цифрове мистецтво, предмети колекціонування, ігрові предмети, доменні імена та навіть цифрові форми фізичних активів. По суті, OpenSea — це NFT-версія Taobao. На Taobao люди купують будь-які фізичні товари, тоді як на OpenSea люди торгують різними типами цифрових активів. Оскільки цього року індустрія NFT знову і знову привертає увагу завдяки зашифрованим творам мистецтва, зашифрованим аватарам і віртуальній нерухомості, кількість користувачів Opensea також зростає. На даний момент кількість щомісячних активних користувачів Opensea досягла 200 000.

Однак, окрім збитків, спричинених хакерськими зломами, нещодавно Opensea також зіткнулася з багатьма іншими суперечками. 6 грудня минулого року Браян Робертс, новий фінансовий директор OpenSea, заявив, що компанія активно просуває IPO. Спільнота шифрувальників розцінює таку поведінку як зраду своїх користувачів. Шанувальники шифрування підтримують швидке зростання платформи. Вони сподіваються, що OpenSea зможе розповсюджувати токени управління через airdrop, так само як служба доменних імен Ethereum ENS і Rarible, ще одна торгова платформа NFT.

Щоб протестувати проти OpenSea, спільнота запустила OpenDAO 24 грудня та надасть токен керування SOS усім користувачам, які взаємодіяли з OpenSea. Кількість падінь пов’язана зі ступенем користувачів, які використовують OpenSea. Загальний обіг токенів SOS становить 100 трильйонів, з яких 50% буде використано для airdrop, 20% для винагороди за стейкинг, 10% для винагороди за видобуток ліквідності користувача та 20% для щоденного обслуговування користувача Dao.

26 грудня представники OpenSea також відповіли. З одного боку, хоча офіційні особи OpenSea не мали нічого спільного з скиданням токенів SOS, OpenSea підтвердила внесок спільноти; З іншого боку, через неофіційну історію токенів SOS, OpenSea також нагадує користувачам про ризики, пов’язані з токенами SOS.


Автор: Gate.io Спостерігач: Edward.H
Відмова від відповідальності:
* Ця стаття представляє лише погляди спостерігачів і не містить інвестиційних пропозицій.
*Gate.io залишає за собою всі права на цю статтю. Повторне розміщення статті буде дозволено за умови посилання на Gate.io. У всіх інших випадках через порушення авторських прав буде вжито судовий позов.


Вибрані статті тижня на Gate.io
Аналіз уразливості ігрового контракту SQUID – ризик залишається високим
інцидент злому DeFi у 2021 році
Looksrare NFT Marketplace конкурує з OpenSea