Поправянето на този проблем е „приоритет №1“ на пазара за NFT, казва съоснователят Алекс Атала.
OpenSea вече е възстановила 750 Ethereum, около 1,8 млн. долара, на потребители, които случайно са продали ценни НФТ на цена, значително по-ниска от пазарната, чрез експлойт, включващ „неактивни обяви“.
Неотдавна няколко потребители на водещия пазар за NFT’ се оплакаха, че техните NFT със сини чипове, като например тези, принадлежащи на колекцията Bored Ape Yacht Club (BAYC), са били закупени на стари, евтини цени от обявите. Тези обяви така и не бяха анулирани в блокчейна, въпреки че потребителският интерфейс на OpenSea предполагаше, че са анулирани.
Как се е случило това? Технически грамотните купувачи са използвали услуги като Tornado Cash, за да вливат пари в адреси на крипто портфейли, без да разкриват източника, и са използвали тези средства, за да купуват НФП на стари цени на обявите.
Този експлойт не е нов. Блокчейнът на Ethereum изисква от потребителите да плащат такса за газ, за да изпълняват транзакции, включително да анулират обява в OpenSea, която все още не е изтекла. Но преди OpenSea да въведе избираеми дати на изтичане на срока на валидност на обявите, много притежатели на НФТ имаха неактивни обяви, които нямаха дата на изтичане на срока на валидност и по този начин изискваха ръчно анулиране чрез платена такса за газ. Обявите с изтекъл срок на валидност са добри, но неактивните обяви представляват риск.
В стремежа си да избегнат плащането на такси за газ в Етериум, които често могат да достигнат стотици долари за една транзакция, някои собственици на НФТ намериха вратичка. Ако прехвърлят NFT във втори портфейл и след това обратно в първия портфейл, обявата изчезва в потребителския интерфейс на OpenSea.
Но в действителност списъкът просто е преминал от „активен“ в „неактивен“. А неактивните обяви все още могат да бъдат закупени от експерти по блокчейн, които взаимодействат директно със самите интелигентни договори, а не с потребителския интерфейс на OpenSea.
В отговор на това OpenSea пусна функцията „неактивни обяви“ на своя десктоп сайт на 24 януари. Те не отговориха на предишното ни искане за коментар.
По-рано тази седмица някои притежатели на BAYC бяха уведомени от OpenSea, че ще им бъдат възстановени част от Ethereum за загубите им. Tballer, който е загубил Ape 8924, който е бил отмъкнат за 6,66 ETH (около 17 000 долара). Фдез не отговори на молбата ни за коментар.
Ако Тбалер иска да си върне Ape, ще трябва да плати 130 ETH (330 000 долара).
Ape на Tballer има нов собственик.
На 26 януари OpenSea изпрати имейл до собствениците на NFT с неактивни обяви, в който ги призовава „да действат спешно, за да анулират всички неактивни обяви“.
Тези инструкции предизвикаха някои опасения, тъй като колекционерът на НФТ Дингейлинг заяви в дълга тема в Twitter, че имейлът е „невероятно безотговорен от тяхна страна и влошава нещата 100 пъти. Това всъщност прави експлойта много по-лесен за изпълнение.“
1/ ПРЕДУПРЕЖДЕНИЕ: НЕ ОТМЕНЯЙТЕ СПИСЪЦИТЕ СИ С ОС, КАКТО Е ПОСОЧЕНО В ИМЕЙЛА, КОЙТО OPENSEA ТОКУ-ЩО ИЗПРАТИ
Моля, ПЪРВО прехвърлете своя НФТ на друг адрес и анулирайте обявата/ите на първоначалния адрес, ПРЕДИ да го изпратите обратно
ОС току-що изложи всички на още по-голям риск, отколкото преди
– dingaling (@dingalingts) January 27 2022
Като просто казваше на потребителите да отменят неактивните обяви една по една на уебсайта OpenSea, това всъщност позволяваше на използвачите да извършват покупки на други неактивни обяви. Например притежателят на Mutant Ape Yacht Club Swolfchan запази своя Ape в основния си портфейл и анулира неактивна обява с 15 ETH. След това той планираше да анулира листинг с 6 ETH.
Но между времето, което е било необходимо на Swolfchan да отмени първата неактивна обява и да премине към втората, експлоатиращ е закупил тяхната Ape на цената от 6 ETH.
Дингалинг обясни, че ако Swolfchan е прехвърлил Ape в друг портфейл, след това е анулирал всички обяви, а после е преместил Ape обратно в основния портфейл, те са щели да бъдат в безопасност. Но OpenSea изглежда не е предоставила тези инструкции в първоначалния си имейл.
На 27 януари съоснователят на OpenSea Алекс Атала заяви пред Dingaling, че „отстраняването на този проблем е приоритет №1 на нашата компания. Имаме екип, който работи по него и сега поставя контрамерка“.
Що се отнася до това какви биха могли да бъдат тези решения, главният технически директор на Ledger Шарл Гилеме има няколко идеи: „Един различен дизайн би могъл да избегне подобен проблем“, каза ни той. Гилемет твърди, че потребителският интерфейс на OpenSea е трябвало да бъде по-ясен за потребителите. „Прехвърлянето на NFT не би трябвало да премахва поръчката за продажба от потребителския интерфейс“, каза той.
