OpenSea اکنون حدود 750 اتریوم را بازپرداخت کرده است 1.8 میلیون دلار، به کاربرانی که به طور تصادفی NFT های ارزشمند را با نرخ بسیار پایین تر از بازار فعلی خود از طریق یک سوء استفاده شامل " فروختندلیست های غیر فعال"
به تازگی، چندین کاربر از پیشرو NFT› بازار شکایت کرده بود که NFT های تراشه آبی آنها، مانند آنهایی که به مجموعه Bored Ape Yacht Club (BAYC) تعلق دارند، با قیمت های فهرست قدیمی و ارزان خریداری شده اند. این لیستها هرگز در بلاک چین لغو نشدند، حتی اگر رابط کاربری OpenSea نشان داد که این فهرستها لغو شدهاند.
چگونه این اتفاق افتاد؟ خریداران متبحر فناوری از خدماتی مانند Tornado Cash برای قیف کردن پول به آدرسهای کیف پول کریپتو بدون افشای منبع استفاده میکنند و از آن وجوه برای خرید NFT با قیمتهای فهرست قدیمی استفاده میکنند.
این اکسپلویت جدید نیست در Ethereum بلاک چین از کاربران میخواهد برای انجام تراکنشها، از جمله لغو فهرستی در OpenSea که هنوز منقضی نشده است، هزینه گاز بپردازند. اما قبل از اینکه OpenSea تاریخهای انقضای قابل انتخاب را در فهرستها پیادهسازی کند، بسیاری از دارندگان NFT فهرستهای غیرفعالی داشتند که تاریخ انقضا نداشتند و بنابراین نیاز به لغو دستی از طریق هزینه گاز پرداختی داشتند. لیست های منقضی شده خوب هستند، اما لیست های غیرفعال یک خطر هستند.
در تلاش برای جلوگیری از پرداخت هزینه های گاز اتریوم، که اغلب برای یک تراکنش به صدها دلار می رسد، برخی از دارندگان NFT یک راه گریز پیدا کردند. اگر NFT را به یک کیف پول ثانویه منتقل کنند و سپس به کیف پول اول برگردند، لیست در رابط کاربری OpenSea ناپدید می شود.
اما در واقعیت، فهرست به سادگی از «فعال» به «غیرفعال» تبدیل شده بود. و لیستهای غیرفعال را همچنان میتوان توسط کارشناسان بلاک چین خریداری کرد که مستقیماً با خود قراردادهای هوشمند تعامل دارند، نه با رابط کاربری OpenSea.
در پاسخ، OpenSea یک ویژگی «فهرستهای غیرفعال» را در سایت دسکتاپ خود ارائه کرد ژانویه 24. پاسخ ندادند رمزگشایی کنیددرخواست قبلی برای نظر دادن
اوایل این هفته به برخی از دارندگان BAYC توسط OpenSea گفته شد که مقداری از Ethereum برای ضررشان بازپرداخت خواهد شد. تیبالر، که میمون شماره 9991 را با 0.77 ETH (حدود 1,700 دلار) از دست داد، به رمزگشایی کنید در 25 ژانویه احساس کرد که "پاسخ نسبتاً آهسته" از OpenSea دریافت کرده است، اما "خوشحال است که آنها به من بازگشتند."
تبالر گفت: «جامعه [NFT] به من در این امر کمک کرد رمزگشایی کنید. "شبی که این اتفاق افتاد، تقریباً نزدیک بودم که به خانه بروم و همه چیز را بفروشم."
Tballer's Ape اکنون به نظر می رسد متعلق به خوان فدز، که دو میمون را خریداری کرد که سهوا فروخته شد. Fdez همچنین دارای BAYC #8924 است که برای 6.66 ETH (حدود 17,000 دلار) سوایپ شده بود. Fdez پاسخی نداد رمزگشایی کنیددرخواست برای اظهار نظر.
اگر Tballer بخواهد میمون خود را پس بگیرد، باید 130 ETH (330,000 دلار) بپردازد.
در 26 ژانویه، OpenSea ایمیلی با فهرستهای غیرفعال به صاحبان NFT ارسال کرد و به آنها گفت: «لطفاً فوراً برای لغو هرگونه فهرست غیرفعال اقدام کنید».
این دستورالعملها باعث ایجاد نگرانیهایی شد، همانطور که دینگالینگ جمعآورنده NFT در الف تاپیک طولانی توییتر این ایمیل «بهطور باورنکردنی غیرمسئولانه از سوی آنها بود و اوضاع را صد برابر بدتر میکرد. این در واقع اجرای اکسپلویت را بسیار آسانتر میکند.»
1/ اخطار: فهرست های سیستم عامل خود را همانطور که در ایمیلی که OPENSEA به تازگی ارسال کرده است، لغو نکنید؟
لطفاً ابتدا NFT خود را به آدرس دیگری منتقل کنید و لیست/های موجود در آدرس اصلی را قبل از ارسال مجدد لغو کنید.
سیستم عامل همه را حتی بیشتر از قبل در معرض خطر قرار می دهد؟
- دینگالینگ (@dingalingts) ژانویه 27، 2022
به سادگی به کاربران گفت که فهرستهای غیرفعال را یک به یک در وبسایت OpenSea لغو کنند، در واقع به بهرهبرداران اجازه میدهد تا خریدهای خود را در سایر فهرستهای غیرفعال انجام دهند. به عنوان مثال، دارنده باشگاه قایق بادبانی Mutant Ape Swolfchan میمون خود را در کیف پول اصلی خود نگه داشت و فهرست غیرفعال 15 ETH را لغو کرد. پس از آن، آنها قصد داشتند یک لیست 6 ETH را لغو کنند.
اما در بین زمانی که Swolfchan طول کشید تا اولین فهرست غیرفعال را لغو کند و به فهرست دوم منتقل شود، یک بهرهبردار Ape آنها را با قیمت 6 ETH خریداری کرد.
Dingaling توضیح داد که اگر Swolfchan میمون را به کیف پول دیگری منتقل می کرد، سپس همه لیست ها را لغو می کرد، سپس میمون را به کیف پول اصلی منتقل می کرد، آنها در امان بودند. اما به نظر نمی رسید که OpenSea این دستورالعمل ها را در ایمیل اولیه خود ارائه کند.
یکی از بنیانگذاران OpenSea الکس عطاالله در 27 ژانویه به Dingaling گفت: «رفع این مشکل اولویت شماره 1 شرکت ما است. ما تیمی داریم که روی آن کار میکند و اکنون یک اقدام متقابل انجام میدهد.»
در مورد اینکه این راهحلها چه میتوانند باشند، چارلز گیمت، مدیر ارشد فناوری لجر، چند ایده دارد: او گفت: «یک طراحی متفاوت میتوانست از چنین موضوعی جلوگیری کند. رمزگشایی کنید. Guillemet استدلال می کند که رابط کاربری در OpenSea باید برای کاربران واضح تر می بود. او گفت: «انتقال NFT نباید دستور فروش را از رابط کاربری حذف کند.
منبع: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit