به نظر می رسد که کلاهبرداران از یک باگ OpenSea استفاده می کنند تا NFT های ارزشمند را با قیمتی بسیار ارزان تر از لیست فعلی خود خریداری کنند.
چندین محقق و توسعهدهنده جزئیات این مشکل جاری را شرح دادهاند، و برخی ادعا میکنند که NFTهای خاصی به ارزش صدها هزار دلار با بهرهبرداری از باگ این پلتفرم به سرقت رفتهاند.
OpenSea Bug پلتفرم را برای هک باز می کند
بر اساس گزارشها، یک نقص در قسمت جلویی بازار توکن غیرقابل تعویض (NFT) برجسته OpenSea منجر به سوء استفادهای شده است که به کاربران امکان میدهد NFTهای محبوب را با قیمت فهرست قبلی خود خریداری کنند.
به نظر میرسد که این مشکل در مورد کلکسیونهای Bored Ape Yacht Club (BAYC) و Mutant Ape Yacht Club (MAYC) NFT رایج است، جایی که بهرهبردار توانست آنها را به قیمت اصلی فهرست خود خریداری کند و متعاقباً آنها را به قیمت فعلی بازار بفروشد. BAYC #9991، BAYC #8924، و MAYC #4986 از جمله NFT های تحت تاثیر قرار گرفته اند.
این هک پس از آن آشکار شد که کلکسیونر NFT "TBALLER" توییت کرد که Bored Ape #9991 کمیاب آنها به قیمت ناچیز .77 ETH یا 1,775 دلار در اوایل صبح دوشنبه فروخته شد.
اووو بچه ها! نمی دانم چه اتفاقی افتاد که چرا میمون من فقط به قیمت 77 فروخته شد؟؟؟؟
— TBALLER.eth (@T_BALLER6) ژانویه 24، 2022
خریدار، با نام "jpegdegenlove"، میمون NFT را تقریباً بلافاصله با 84.2 ETH یا تقریباً 200,000 دلار برگرداند. کاربر توانسته است حدود 332ETH (754,000 دلار) را برگرداند.
موجودی کیف پول اتر بهره بردار گزارش شده منبع: Etherscan
PekShieldAlert - شرکت امنیتی محبوب PeckShield ربات هشدارهای بلادرنگ - اوایل امروز از نقص OpenSea هشدار داد و اشاره کرد که در آن زمان 332 ETH به ارزش حدود 750 هزار دلار به دست آورده بود.
به نظر می رسد که @دریای آزاد یک مشکل front-end دارد و بهرهبردار حدود 332 اتر به دست آورده استhttps://t.co/35kCB1n7nv
- peckshieldalert (peckshieldalert) ژانویه 24، 2022
به گفته شرکت تحلیل ارزهای دیجیتال Elliptic، در leaOpenSeast سه مهاجم NFTهایی با ارزش کل بازار کمی بیش از 1 میلیون دلار با استفاده از ضعف از صبح دوشنبه خریداری کرده اند. در وبلاگ این شرکت آمده است: «با بهرهبرداری از این نقص، امروز یک مهاجم مجموعاً 133,000 دلار برای هفت NFT پرداخت - قبل از اینکه سریعاً آنها را به قیمت 934,000 دلار بفروشد».
در یک موضوع توییترروتم یاکیر، یک توسعه دهنده در کسب و کار غیرمتمرکز پول Orbs.com، این آسیب پذیری را توضیح داد. به گفته یاکر، افرادی که NFT های خود را بدون لغو مجدد لیست کرده و سپس آنها را با قیمت بالاتری فروخته اند، می توانند از طریق این نقص آنها را با قیمت ارزان تری خریداری کنند.
اوایل امروز، محقق امنیتی Tal Be'ery کشف Elliptic و Yakir توسط نمایش داده ها از بلاک چین اتریوم تایید می کند که Bored Ape Yacht Club #8274 در ماه ژوئیه به قیمت 50,500 دلار (22.9 ETH) خریداری شده و به قیمت حدود 296,000 دلار فروخته شده است. (130 ETH).
مقاله مرتبط | در هک Crypto.com (CRO) چه اشتباهی رخ داد؟ کارشناسان وزن می کنند
این اکسپلویت جدید نیست
یک اکسپلویت قبلی در 31 دسامبر شاهد سناریوی مشابهی بود که در آن به نظر میرسید مشکلی از انتقال داراییها از کیف پول OpenSea به یک کیف پول جداگانه بدون لغو فهرست ایجاد شده است.
به گفته یکی از کاربران، اگر شخصی که از OpenSea استفاده می کند، یک NFT را برای فروش قرار دهد و بعداً تصمیم بگیرد که نمی خواهد آن تبلیغ فعال بماند، پلتفرم برای حذف آن هزینه دریافت می کند. با این حال، این می تواند گران باشد، بنابراین کاربران راه حلی ابداع کردند که در آن NFT را به کیف پول دیگری منتقل کردند و در نتیجه فهرست را لغو کردند.
1/ اخیراً وجود داشته است @دریای آزاد اکسپلویتی که امکان خرید داراییها را با قیمتهای بسیار با تخفیف فراهم میکند، از جمله 3 پاس تازه دراپ، یک BAYC https://t.co/8pEgeXkOBo، چندین MAYC، و موارد دیگر. من امروز صبح تحقیق کردم و اینجا چه اتفاقی می افتد -> a ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) دسامبر 31، 2021
OpenSea در زمان گزارش به این موضوع رسیدگی نکرد.
مقاله مرتبط | BitMart کاربران را به عنوان قربانیان هک در انتظار بازپرداخت می گذارد
کاربران می توانند ببینند که آیا فهرست آنها از Rarible، یکی دیگر از بازارهای NFT که از API OpenSea استفاده می کند، حذف شده است یا خیر. به گفته کاربر، این نقص پس از وقوع دسامبر گزارش شده است، اما هیچ اقدامی برای رفع آن انجام نشده است.
ETH/USD بالای 2,400 دلار است. منبع: TradingView
شایان ذکر است که این مشکل در نتیجه طراحی مورد نظر OpenSea، یک سرویس متمرکز که از سکه های غیرمتمرکز استفاده می کند، به وجود آمد. طبقه بندی این مورد به عنوان یک هک یا حتی یک اشکال دشوار است. OpenSea به مصرف کنندگان اطلاع می دهد که خدماتش اینگونه عمل می کند که منجر به کلاهبرداری های متعددی شده است. اشکال OpenSea نشان میدهد که یک بازار شلخته است، و اگر کاربران در پیروی از شیوههای صحیح محتاط نباشند، ممکن است توسط کاربران باهوشتر مورد سوء استفاده قرار گیرند.
در حال حاضر مشخص نیست که آیا باگ OpenSea به عنوان یک نقص امنیتی باز در نظر گرفته می شود یا نتیجه خطای کاربر است.
تصویر برجسته از Unsplash، نمودار از TradingView.com و Etherscan
منبع: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/