Hakerët shfrytëzuan një gabim ekzistues në platformën OpenSea për të blerë NFT të shumta me vlerë mbi një milion dollarë me zbritje drastike me gjashtë shifra.
Elliptic raporton humbjen e NFT në OpenSea
NFT-të në kuletat e shumta ishin në shënjestër gjatë hakimit, ku sulmuesit ishin në gjendje t'i blinin ato me çmimet e listuara më parë, pa i lënë anash pronarët. OpenSea ende nuk ka bërë një koment ose një njoftim në lidhje me sulmin, i cili u vu re dhe u raportua për herë të parë nga kompania analitike e blockchain Elliptic.
Sipas shkencëtarit kryesor dhe bashkëthemeluesit në Elliptic, Tom Robinson
“Shfrytëzimi duket se vjen nga fakti se më parë ishte e mundur të rilistohej një NFT me një çmim të ri, pa anuluar listimin e mëparshëm. Këto listime të vjetra tani po përdoren për të blerë NFT me çmime të specifikuara në të kaluarën – shpesh shumë nën çmimet aktuale të tregut.”
Bug i shfrytëzuar për të rrëmbyer NFT-të
Një nga NFT-të e vjedhura duke shfrytëzuar këtë gabim ishte Bored Ape #9991 nga koleksioni popullor Bored Ape Yacht Club. NFT u ble për 0.77 ETH (rreth 1747 dollarë), një çmim drastikisht i ulët për një Bored Ape NFT, që zakonisht shitet për qindra mijëra dollarë. Megjithatë, pronari në kohën e shitjes nuk ishte në dijeni se NFT ishte listuar për një shumë të tillë të ulët. Menjëherë pas kësaj, e njëjta NFT u shit për 84.2 ETH (rreth 189,040 dollarë), duke llogaritur për një fitim të konsiderueshëm prej mbi 187,000 dollarë.
CEO Robinson ka vënë në dukje gjithsej tetë NFT që janë vjedhur në këtë mënyrë. Kuletat e origjinës ishin të gjitha të ndryshme, ndërsa totali i kuletave të sulmuesit ishte vetëm tre. Një tjetër portofol sulmues ishte në gjendje të merrte shtatë NFT për 133,000 dollarë, ndërsa një i tretë fitoi një tjetër NFT Bored Ape për një vlerë të ulët 23 ETH.
Si është krijuar ky gabim?
Në një temë në Twitter, zhvilluesi i softuerit Rotem Yakir ka përmbledhur se si u krijua defekti nga një mospërputhje midis informacionit të disponueshëm në kontratat inteligjente NFT dhe informacionit të paraqitur nga ndërfaqja e përdoruesit të OpenSea. Në fund të fundit, gabimi i lejon sulmuesit të kenë akses në çmimet e vjetra të kontratave që ekzistojnë ende në blockchain, por janë të bllokuara nga pamja në aplikacionin OpenSea. Blerësit e mundshëm në OpenSea bëjnë një ofertë për "çmimin e listës" të dukshme siç përcaktohet nga pronari i NFT. Pasi një blerës pranon çmimin e listës, pronësia e NFT-së transferohet automatikisht tek ai.
Defekti krijohet kur pronarët duan të ri-listojnë NFT-të e tyre me një çmim më të lartë, por nuk duan të paguajnë tarifat e gazit për të anuluar listimin e parë. Pra, në vend të kësaj, ata transferojnë NFT-në në një portofol tjetër dhe më pas përsëri në portofolin origjinal. Bërja e kësaj e heq listimin nga pjesa e përparme e OpenSea. Sidoqoftë, listimi origjinal qëndron aktiv në blockchain dhe mund të gjendet përmes OpenSea API.
Është interesante të theksohet se ky gabim ishte zbuluar në dhjetor 2021. Për më tepër, edhe në janar 2022, një temë në Twitter hodhi dritë mbi shitjen e detyruar të NFT-ve me këtë metodë. Megjithatë, asnjë veprim parandalues nuk u ndërmor nga OpenSea në atë kohë.
Përgjegjësia: Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose synohet të përdoret si këshillë juridike, tatimore, investuese, financiare ose këshillë tjetër.
Burimi: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea