Hackerovi se podařilo zneužít chybu v platformě OpenSea, která byla nahlášena před více než třemi týdny. Podařilo se mu koupit NFT za nižší cenu a dosáhnout zisku 750 000 dolarů
Chyba v OpenSea
Mnoho majitelů hlásilo, že jejich neprodejné tokeny (NFT) z kolekce Bored Ape Yacht Club se na platformě OpenSea prodávají za mnohem nižší cenu, než je jejich skutečná hodnota.
Právě jsem přišel o opici…. Pláču…. Jak se to stalo
– TBALLER.eth (@T_BALLER6) January 24, 2022
Hackerovi se údajně podařilo zneužít chybu ve frontendu obchodní platformy OpenSea, která mu umožnila nakupovat NFT za desítky tisíc dolarů méně, než je jejich minimální cena (floor price).
Tballer, který krádež nahlásil na svém účtu na Twitteru, viděl, jak se jeho BAYC 8924 byly rovněž prodány za 23 ETH (asi 51 000 USD) a 6,66 ETH (14 700 USD), zatímco současná nejnižší cena sbírky Bored Ape Yacht Club je 200 000 USD.
Hacker také zakoupil dva Mutant Ape, sekundární sbírku BAYC a také NFT Cool Cats a NFT CyberKongz. Celkem tak získal 332 ETH, tedy přibližně 733 500 dolarů.
Historie událostí pro BAYC 9991 (Zdroj: OpenSea)
Tajemný kupec se jmenuje „jpegdegenlove“ a byl přejmenován na „OpenSea Opportunistic Buyer“ na Etherscan.
Chyba v rozhraní API platformy
Když chce uživatel OpenSea změnit minimální prodejní cenu NFT, platforma mu naúčtuje poplatek za změnu, který může být poměrně vysoký, pokud byla cena změněna vícekrát.
Někteří prodejci NFT však tento problém dokázali obejít. Převedou dotyčný NFT do jiné peněženky a pak ho pošlou zpět do původní peněženky, aby mohli změnit cenu, aniž by museli platit více.
Zde však vzniká mezera. Původní příkaz k prodeji již není na platformě viditelný, ale zůstává přístupný v rozhraní pro programování aplikací (API) webu, což zlomyslnému kupujícímu umožňuje přístup k předchozím „neviditelným“ cenám.
Konkrétně je změna viditelná na přední straně webu, ale veškerá historie zůstává přístupná na zadní straně.
Hacker tak mohl získat přístup k předchozím cenám prostřednictvím platformy Rarible a zakoupit je za nižší cenu.
Chyba byla nahlášena prostřednictvím uživatele Twitteru @cap10bad již 31. prosince, ale zdá se, že společnost OpenSea ani po více než třech týdnech od jejího objevení problém nevyřešila.
OpenSea je stále lídrem na trhu s NFT
Výměnná platforma NFT společnosti OpenSea je i nadále lídrem trhu se stále rostoucím počtem uživatelů, který na začátku roku 2022 dosáhl přibližně 457 000.
Měsíční počet aktivních uživatelů na OpenSea (Zdroj: Dune Analytics)
Jen v prosinci dosáhl měsíční objem obchodů 3,24 miliardy dolarů, čímž výrazně předstihl svého hlavního konkurenta Rarible, který ve stejném období na své platformě zaznamenal „pouze“ 21 milionů dolarů.
Kolekce Bored Ape Yacht Club nebyla při tomto hackování vybrána náhodně. Jedná se totiž o NFT s nejvyšší minimální cenou ze všech sbírek (aktuálně 87,7 ETH, tedy asi 185 000 USD).
Tržní kapitalizace BAYC má v současné době hodnotu 2,37 miliardy dolarů. NFT BAYC si koupilo mnoho hvězd, například Stephen Curry, Post Malone, Jimmy Fallon, Snoop Dogg nebo nedávno rapper Eminem.
