Oprava tohoto problému je „prioritou číslo 1“ tržiště NFT, říká spoluzakladatel Alex Atalla.
OpenSea nyní uhradila 750 etherů, tedy asi 1,8 milionu dolarů, uživatelům, kteří omylem prodali cenné NFT za cenu výrazně nižší, než je jejich běžná tržní cena, prostřednictvím exploitu zahrnujícího „neaktivní výpisy“.
Nedávno si několik uživatelů předního tržiště s NFT‘ stěžovalo, že jejich NFT s modrými žetony, například ty, které patří do kolekce Bored Ape Yacht Club (BAYC), byly zakoupeny za staré, levné výpisové ceny. Tyto nabídky nebyly v blockchainu nikdy zrušeny, přestože uživatelské rozhraní na OpenSea naznačovalo, že ano.
Jak k tomu došlo? Technicky zdatní kupující využívali služby jako Tornado Cash k přelévání peněz na adresy kryptopeněženek bez zveřejnění zdroje a tyto prostředky používali k nákupu NFT za staré ceny listingů.
Toto zneužití není nové. Blokový řetězec Ethereum vyžaduje, aby uživatelé platili poplatek za plyn, aby mohli provádět transakce, včetně zrušení listingu na OpenSea, jehož platnost ještě nevypršela. Ale předtím, než OpenSea implementovala volitelná data expirace u listingů, mělo mnoho držitelů NFT neaktivní listingy, které neměly datum expirace, a proto vyžadovaly manuální zrušení prostřednictvím zaplaceného poplatku za plyn. Seznamy s vypršenou platností jsou v pořádku, ale neaktivní seznamy představují riziko.
Ve snaze vyhnout se placení poplatků za Ethereum gas, které se často mohou pohybovat v řádu stovek dolarů za jednu transakci, našli někteří majitelé NFT skulinu. Pokud převedli NFT do sekundární peněženky a poté zpět do první peněženky, listing v uživatelském rozhraní OpenSea zmizel.
Ve skutečnosti se však výpis jednoduše změnil z „aktivní“ na „neaktivní“. A neaktivní listingy mohou stále nakupovat odborníci na blockchain, kteří komunikují přímo se samotnými chytrými kontrakty, nikoli s uživatelským rozhraním OpenSea.
V reakci na to společnost OpenSea 24. ledna zavedla na svých desktopových stránkách funkci „neaktivní nabídky“. Na naši předchozí žádost o komentář nereagovala.
Některým držitelům BAYC společnost OpenSea začátkem tohoto týdne oznámila, že jim vrátí část Etherea za jejich ztrátu. Tballer, který přišel o Ape 8924, který byl zcizený za 6,66 ETH (asi 17 000 USD). Fdez na naši žádost o komentář nereagoval.
Pokud bude chtít Tballer svého Apea zpět, bude muset zaplatit 130 ETH (330 000 dolarů).
Tballerův Ape má nového majitele.
Dne 26. ledna rozeslala společnost OpenSea majitelům NFT s neaktivními nabídkami e-mail, ve kterém je vyzývá, aby „urychleně jednali a zrušili všechny neaktivní nabídky“.
Tyto pokyny vyvolaly určité obavy, protože sběratel NFT Dingaling v dlouhém vlákně na Twitteru tvrdil, že e-mail je z jejich strany „neuvěřitelně nezodpovědný a situaci 100x zhoršuje. Ve skutečnosti se tak exploit provádí mnohem snadněji.“
1/ VAROVÁNÍ: NEZRUŠUJTE SVÉ VÝPISY OS, JAK JE UVEDENO V E-MAILU, KTERÝ OPENSEA PRÁVĚ ROZESLALA
PŘED odesláním zpět si prosím PRVNÍ převeďte svůj NFT na jinou adresu a zrušte listing/y na původní adrese.
OS právě všechny vystavil ještě většímu riziku než předtím
– dingaling (@dingalingts) January 27 2022
Jednoduše tím, že uživatelům řekl, aby na webu OpenSea rušili neaktivní nabídky jednu po druhé, ve skutečnosti umožnil zneuživatelům provádět nákupy na jiných neaktivních nabídkách. Například držitel Mutant Ape Yacht Clubu Swolfchan si ponechal svého Apea v hlavní peněžence a zrušil neaktivní listing s 15 ETH. Poté měl v plánu zrušit listing s hodnotou 6 ETH.
Ale mezi tím, než Swolfchan zrušil první neaktivní listing a přešel na druhý, exploiter koupil jejich Ape za cenu 6 ETH.
Dingaling vysvětlil, že kdyby Swolfchan převedl Ape do jiné peněženky, pak zrušil všechny listingy a poté přesunul Ape zpět do hlavní peněženky, byli by v bezpečí. Zdá se však, že OpenSea tyto pokyny ve svém původním e-mailu neposkytla.
Spoluzakladatel společnosti OpenSea Alex Atallah 27. ledna sdělil společnosti Dingaling, že „oprava tohoto problému je naší prioritou č. 1 ve společnosti. Pracuje na tom tým, který nyní zavádí protiopatření“.
Pokud jde o to, jaká by tato řešení mohla být, technický ředitel společnosti Ledger Charles Guillemet má několik nápadů: „Takovému problému by se dalo předejít jiným návrhem,“ řekl nám. Guillemet tvrdí, že uživatelské rozhraní v OpenSea mělo být pro uživatele přehlednější. „Převod NFT by neměl odstranit příkaz k prodeji z uživatelského rozhraní,“ řekl.
