هکر از باگ OpenSea سوء استفاده می کند که ارزش NFT ها را برای خرید و چرخاندن میمون های خسته کننده کم می کند

به نظر می رسد که کلاهبرداران از یک باگ OpenSea استفاده می کنند تا NFT های ارزشمند را با قیمتی بسیار ارزان تر از لیست فعلی خود خریداری کنند.

چندین محقق و توسعه‌دهنده جزئیات این مشکل جاری را شرح داده‌اند، و برخی ادعا می‌کنند که NFT‌های خاصی به ارزش صدها هزار دلار با بهره‌برداری از باگ این پلتفرم به سرقت رفته‌اند.

OpenSea Bug پلتفرم را برای هک باز می کند

بر اساس گزارش‌ها، یک نقص در قسمت جلویی بازار توکن غیرقابل تعویض (NFT) برجسته OpenSea منجر به سوء استفاده‌ای شده است که به کاربران امکان می‌دهد NFT‌های محبوب را با قیمت فهرست قبلی خود خریداری کنند.

به نظر می‌رسد که این مشکل در مورد کلکسیون‌های Bored Ape Yacht Club (BAYC) و Mutant Ape Yacht Club (MAYC) NFT رایج است، جایی که بهره‌بردار توانست آنها را به قیمت اصلی فهرست خود خریداری کند و متعاقباً آنها را به قیمت فعلی بازار بفروشد. BAYC #9991، BAYC #8924، و MAYC #4986 از جمله NFT های تحت تاثیر قرار گرفته اند.

این هک پس از آن آشکار شد که کلکسیونر NFT "TBALLER" توییت کرد که Bored Ape #9991 کمیاب آنها به قیمت ناچیز .77 ETH یا 1,775 دلار در اوایل صبح دوشنبه فروخته شد.

اووو بچه ها! نمی دانم چه اتفاقی افتاد که چرا میمون من فقط به قیمت 77 فروخته شد؟؟؟؟

— TBALLER.eth (@T_BALLER6) ژانویه 24، 2022

خریدار، با نام "jpegdegenlove"، میمون NFT را تقریباً بلافاصله با 84.2 ETH یا تقریباً 200,000 دلار برگرداند. کاربر توانسته است حدود 332ETH (754,000 دلار) را برگرداند.

موجودی کیف پول اتر بهره بردار گزارش شده منبع: Etherscan

PekShieldAlert - شرکت امنیتی محبوب PeckShield ربات هشدارهای بلادرنگ - اوایل امروز از نقص OpenSea هشدار داد و اشاره کرد که در آن زمان 332 ETH به ارزش حدود 750 هزار دلار به دست آورده بود.

به نظر می رسد که @دریای آزاد یک مشکل front-end دارد و بهره‌بردار حدود 332 اتر به دست آورده استhttps://t.co/35kCB1n7nv

- peckshieldalert (peckshieldalert) ژانویه 24، 2022

به گفته شرکت تحلیل ارزهای دیجیتال Elliptic، در leaOpenSeast سه مهاجم NFTهایی با ارزش کل بازار کمی بیش از 1 میلیون دلار با استفاده از ضعف از صبح دوشنبه خریداری کرده اند. در وبلاگ این شرکت آمده است: «با بهره‌برداری از این نقص، امروز یک مهاجم مجموعاً 133,000 دلار برای هفت NFT پرداخت - قبل از اینکه سریعاً آنها را به قیمت 934,000 دلار بفروشد».

در یک موضوع توییترروتم یاکیر، یک توسعه دهنده در کسب و کار غیرمتمرکز پول Orbs.com، این آسیب پذیری را توضیح داد. به گفته یاکر، افرادی که NFT های خود را بدون لغو مجدد لیست کرده و سپس آنها را با قیمت بالاتری فروخته اند، می توانند از طریق این نقص آنها را با قیمت ارزان تری خریداری کنند.

اوایل امروز، محقق امنیتی Tal Be'ery کشف Elliptic و Yakir توسط نمایش داده ها از بلاک چین اتریوم تایید می کند که Bored Ape Yacht Club #8274 در ماه ژوئیه به قیمت 50,500 دلار (22.9 ETH) خریداری شده و به قیمت حدود 296,000 دلار فروخته شده است. (130 ETH).

مقاله مرتبط | در هک Crypto.com (CRO) چه اشتباهی رخ داد؟ کارشناسان وزن می کنند

این اکسپلویت جدید نیست

یک اکسپلویت قبلی در 31 دسامبر شاهد سناریوی مشابهی بود که در آن به نظر می‌رسید مشکلی از انتقال دارایی‌ها از کیف پول OpenSea به یک کیف پول جداگانه بدون لغو فهرست ایجاد شده است.

به گفته یکی از کاربران، اگر شخصی که از OpenSea استفاده می کند، یک NFT را برای فروش قرار دهد و بعداً تصمیم بگیرد که نمی خواهد آن تبلیغ فعال بماند، پلتفرم برای حذف آن هزینه دریافت می کند. با این حال، این می تواند گران باشد، بنابراین کاربران راه حلی ابداع کردند که در آن NFT را به کیف پول دیگری منتقل کردند و در نتیجه فهرست را لغو کردند.

1/ اخیراً وجود داشته است @دریای آزاد اکسپلویتی که امکان خرید دارایی‌ها را با قیمت‌های بسیار با تخفیف فراهم می‌کند، از جمله 3 پاس تازه دراپ، یک BAYC https://t.co/8pEgeXkOBo، چندین MAYC، و موارد دیگر. من امروز صبح تحقیق کردم و اینجا چه اتفاقی می افتد -> a ??

— cap10bad.ΞTH | freshdrops.io (@cap10bad) دسامبر 31، 2021

OpenSea در زمان گزارش به این موضوع رسیدگی نکرد.

مقاله مرتبط | BitMart کاربران را به عنوان قربانیان هک در انتظار بازپرداخت می گذارد

کاربران می توانند ببینند که آیا فهرست آنها از Rarible، یکی دیگر از بازارهای NFT که از API OpenSea استفاده می کند، حذف شده است یا خیر. به گفته کاربر، این نقص پس از وقوع دسامبر گزارش شده است، اما هیچ اقدامی برای رفع آن انجام نشده است.

ETH/USD بالای 2,400 دلار است. منبع: TradingView

شایان ذکر است که این مشکل در نتیجه طراحی مورد نظر OpenSea، یک سرویس متمرکز که از سکه های غیرمتمرکز استفاده می کند، به وجود آمد. طبقه بندی این مورد به عنوان یک هک یا حتی یک اشکال دشوار است. OpenSea به مصرف کنندگان اطلاع می دهد که خدماتش اینگونه عمل می کند که منجر به کلاهبرداری های متعددی شده است. اشکال OpenSea نشان می‌دهد که یک بازار شلخته است، و اگر کاربران در پیروی از شیوه‌های صحیح محتاط نباشند، ممکن است توسط کاربران باهوش‌تر مورد سوء استفاده قرار گیرند.

در حال حاضر مشخص نیست که آیا باگ OpenSea به عنوان یک نقص امنیتی باز در نظر گرفته می شود یا نتیجه خطای کاربر است.

تصویر برجسته از Unsplash، نمودار از TradingView.com و Etherscan