Lỗ hổng đơn đặt hàng đang chờ xử lý trên Opensea, gây thiệt hại hàng triệu đô la.

【TL; DR】

1. Vào ngày 24 tháng 1 năm 2022, Opensea sàn giao dịch NFT lớn nhất thế giới đã bị tấn công dẫn đến thiệt hại gần 1 triệu đô la.

2. Có lỗ hổng lệnh đang chờ xử lý trong giao diện người dùng của OpenSea và lệnh chờ chưa bị hủy trên chuỗi vẫn tồn tại. Nếu người dùng chuyển ra khỏi NFT mà không trả phí gas và hủy lệnh đang chờ xử lý, họ sẽ gặp rủi ro về tài sản khi chuyển ngược lại NFT sang tài khoản OpenSea.

3. Theo dữ liệu chính thức của OpenSea được cung cấp vào thứ Năm, OpenSea đã bồi thường 750 ETH cho tổng số 130 chủ sở hữu ví.

4. Bên cạnh những tổn thất do hacker tấn công, OpenSea gần đây còn gây bất mãn cho cộng đồng do chuẩn bị niêm yết.

Vào ngày 24 tháng 1 năm 2022, Opensea sàn giao dịch NFT lớn nhất thế giới đã bị tấn công dẫn đến thiệt hại gần 1 triệu đô la.

Khi sự cố xảy ra, nhiều người dùng phát hiện ra rằng NFT của họ đã được mua với giá rất rẻ và nhanh chóng bán lại với giá cao. Ví dụ, ai cũng biết rằng giá bán thấp nhất của Bored Apes là 198.000 USD. Tuy nhiên, Bored Apes của một người dùng đã được mua với giá 1800 đô la và được bán với giá 196.000 đô la trong 20 phút sau đó. Rõ ràng là hacker đã lợi dụng lỗ hổng của nền tảng Opensea để mua thấp và bán NFT của người dùng khác với giá cao hơn lợi dụng chênh lệch kiếm lợi ích cho bản thân. Các tài sản NFT được mua thấp và bán cao bao gồm Câu lạc bộ Du thuyền Bored Ape, Câu lạc bộ Du thuyền Mutant Ape, Cool Cats và Cyberkongz NFT. Ví dụ, lỗ hổng đã bị tin tặc khai thác vào khoảng 7:00 ngày 25, do đó, Bored Ape Yacht Club NFT #9991 đã được mua với giá rất thấp là 0,77ETH và sau đó được bán lại với giá bình thường là 84,2ETH.



Ngoài OpenSea, Rarible, một thị trường giao dịch NFT chính thống khác, cũng bị hack với hình thức tương tự. Có thông tin cho rằng lý do tại sao hai thị trường NFT bị tấn công tương tự là Rarible cũng sử dụng một API từ OpenSea để khởi chạy NFT. Có những lỗ hổng trong API này, khiến cho lệnh đang chờ xử lý trở nên bất thường.

Trong trường hợp niêm yết thông thường, thông tin chữ ký khi bán NFT sẽ được lưu trữ tạm thời trên máy chủ OpenSea. Dữ liệu này có thể được truy cập thông qua API và sẽ bị vô hiệu sau khi giao dịch hoàn tất bình thường. Tuy nhiên, do sơ hở trong cơ chế, lệnh chờ đã hoàn thành giao dịch trên OpenSea vẫn có thể hoạt động. Khi người mua NFT chuyển NFT trở lại OpenSea, điều này sẽ bị tin tặc lợi dụng để mua NFT với ưu đãi ban đầu. Vì báo giá trước đó được tạo ra khi giá NFT vẫn còn rất thấp, các hacker có thể mua NFT với giá cực thấp và bán nó nhanh chóng với giá thị trường.

Khi sự cố xảy ra, một số người dùng có quyền lợi bị thiệt hại đã lo lắng tìm kiếm sự trợ giúp trên mạng xã hội. Hình dưới đây là chủ sở hữu ban đầu của Câu lạc bộ Du thuyền Bored Ape NFT #9991 được đề cập ở trên. Ngoài ra, nhiều người dùng cho biết NFT của họ đã được mua với giá hết hạn.


Khi người dùng quyết định hủy các lệnh đang chờ xử lý, các lệnh đang chờ xử lý sẽ chỉ biến mất khi người dùng quyết định hủy các lệnh đang chờ xử lý. Nếu người dùng chỉ chuyển NFT sang các ví khác mà không thực sự hủy các lệnh đang chờ xử lý (để tránh phí gas), các lệnh chờ chưa xóa ban đầu có thể bị khai thác khi họ chuyển NFT trở lại OpenSea.

Sau sự cố, một người dùng twitter có biệt danh "bor4edape93" đã đăng một ảnh chụp màn hình, nói rằng anh ta đã phát hiện ra lỗ hổng bảo mật vào tháng 6 năm 2021 và đã báo cáo nó với các quan chức của OpenSea. Tuy nhiên, Opensea rõ ràng đã không chú ý đến vấn đề này và không xử lý lỗ hổng, cuối cùng dẫn đến sự cố của hacker. Theo thông tin giao dịch Opensea, ID tài khoản của một hacker bị tình nghi là "jpegdegenlove", đã kiếm được hơn 800.000 USD theo cách này trong vài giờ. Hiện tại, trang chủ của tài khoản đã không thể truy cập được.

Vì những người nắm giữ NFT trước đây không biết về sự tồn tại của lỗ hổng này, nên một khi họ chuyển NFT đã mua trước đó trở lại OpenSea, tài sản của họ sẽ gặp rủi ro. Theo tin tức ngày 28/1, các quan chức của OpenSea đã liên hệ với những người dùng chưa hủy đơn hàng cũ qua email để nhắc họ hủy đơn hàng ban đầu trên chuỗi. Ngoài ra, OpenSea đã bồi thường 750ETH cho tổng số 130 chủ sở hữu ví, theo dữ liệu được cung cấp bởi các quan chức OpenSea vào thứ Năm.


Opensea, được thành lập vào năm 2017, là thị trường giao dịch NFT lớn nhất trên thế giới. Người dùng có thể truyền NFT trên OpenSea, giao dịch và đấu giá các tác phẩm NFT. Trong thị trường giao dịch NFT này, có nhiều loại NFT có thể được giao dịch, chẳng hạn như nghệ thuật kỹ thuật số, đồ sưu tầm, vật phẩm trò chơi, tên miền và thậm chí cả các dạng tài sản vật chất kỹ thuật số. Về bản chất, OpenSea là phiên bản NFT của Taobao. Trên Taobao, mọi người mua tất cả các loại hàng hóa vật chất, trong khi trên OpenSea, mọi người giao dịch các loại tài sản kỹ thuật số khác nhau. Khi ngành công nghiệp NFT thu hút nhiều sự chú ý trở lại trong năm nay do các tác phẩm nghệ thuật được mã hóa, ảnh đại diện được mã hóa và bất động sản ảo, số lượng người dùng Opensea cũng đang tăng lên. Hiện tại, số lượng người dùng hoạt động hàng tháng của Opensea đã lên tới 200.000 người.

Tuy nhiên, bên cạnh những tổn thất do hacker tấn công, Opensea còn vướng phải nhiều tranh chấp khác trong thời gian gần đây. Vào ngày 6 tháng 12 năm ngoái, Brian Roberts, giám đốc tài chính mới của OpenSea, tiết lộ rằng công ty đang tích cực xúc tiến IPO. Hành vi này được cộng đồng mã hóa coi là phản bội người dùng của họ. Người hâm mộ mã hóa ủng hộ sự phát triển nhanh chóng của nền tảng. Họ hy vọng rằng OpenSea có thể phân phối mã thông báo quản trị thông qua airdrop, giống như dịch vụ tên miền Ethereum ENS và Rarible, một nền tảng giao dịch NFT khác.

Để phản đối OpenSea, cộng đồng đã ra mắt OpenDAO vào ngày 24 tháng 12 và sẽ phát hành mã token quản trị SOS cho tất cả người dùng đã tương tác với OpenSea. Số lần airdrop có liên quan đến mức độ người dùng sử dụng OpenSea. Tổng lượng lưu hành của mã token SOS là 100 nghìn tỷ, trong đó 50% sẽ được sử dụng cho airdrop, 20% cho phần thưởng đặt cược, 10% cho phần thưởng khai thác thanh khoản của người dùng và 20% cho việc duy trì hàng ngày của người dùng Dao.

Vào ngày 26 tháng 12, các quan chức của OpenSea cũng đã có phản hồi. Một mặt, mặc dù các quan chức của OpenSea không liên quan gì đến đợt airdrop mã thông báo SOS, OpenSea khẳng định sự đóng góp của cộng đồng; Mặt khác, do nguồn gốc không chính thức của mã thông báo SOS, OpenSea cũng nhắc nhở người dùng về những rủi ro liên quan đến mã thông báo SOS.


Tác giả: Edward.H, Nhà nghiên cứu trực thuộc Gate.io
Tuyên bố từ chối trách nhiệm:
* Bài viết này chỉ trình bày quan điểm của những người quan sát và không cấu thành bất kỳ đề xuất đầu tư nào.
* Gate.io bảo lưu mọi quyền đối với bài viết này. Việc đăng lại bài viết sẽ được cho phép với điều kiện tham chiếu Gate.io. Trong tất cả các trường hợp khác, hành động pháp lý sẽ được thực hiện do vi phạm bản quyền.