Einem Hacker ist es gelungen, eine Schwachstelle auf der OpenSea-Plattform auszunutzen, obwohl diese bereits vor mehr als drei Wochen gemeldet wurde. Dadurch konnte er NFTs günstiger kaufen und einen Gewinn von 750.000 Dollar erzielen.
Eine Sicherheitslücke bei OpenSea
Mehrere Eigentümer berichteten, dass ihre nicht fungiblen Token (NFTs) aus der Bored Ape Yacht Club Kollektion auf der OpenSea-Plattform zu Preisen verkauft wurden, die weit unter ihrem tatsächlichen Wert lagen.
I just lost an ape guys….. I’m crying…. How did this just happen
– TBALLER.eth (@T_BALLER6) January 24, 2022
Einem Hacker soll es gelungen sein, eine Schwachstelle im Frontend der Tauschplattform OpenSea auszunutzen, die es ihm ermöglichte, NFTs für mehrere zehntausend Dollar unter ihrem Tiefstpreis (Mindestpreis für den Tausch) zu kaufen.
Tballer, der den Diebstahl über sein Twitter-Konto meldete, sah seinen BAYC 8924 wurden ebenfalls für 23 ETH (ca. 51.000 US-Dollar) und 6,66 ETH (14.700 US-Dollar) verkauft, obwohl der Mindestpreis für die Sammlung des Bored Ape Yacht Club derzeit bei 200.000 US-Dollar liegt.
Der Hacker kaufte auch zwei Mutant Ape, eine Sekundärsammlung des BAYC, sowie einen NFT Cool Cats und einen NFT CyberKongz. Insgesamt verdiente er damit 332 ETH, was etwa 733.500 US-Dollar entspricht.
Ereignishistorie für BAYC 9991 (Quelle: OpenSea)
Der mysteriöse Käufer heißt „jpegdegenlove“ und wurde auf Etherscan in „OpenSea Opportunistic Buyer“ (opportunistischer Käufer von OpenSea) umbenannt.
Ein Fehler in der API der Plattform
Wenn ein OpenSea-Nutzer den Mindestverkaufspreis eines NFTs ändern möchte, verlangt die Plattform von ihm eine Änderungsgebühr, die ziemlich hoch sein kann, wenn der Preis mehrmals geändert wurde.
NFT-Verkäufern ist es jedoch gelungen, dieses Problem zu umgehen. Sie übertragen den fraglichen NFT auf eine andere Wallet und schicken ihn dann wieder zurück auf die ursprüngliche Wallet, damit sie den Preis ändern können, ohne mehr zu bezahlen.
Doch genau hier entsteht die Schwachstelle. Tatsächlich ist der ursprüngliche Verkaufsauftrag auf der Plattform nicht mehr sichtbar, bleibt aber in der Anwendungsprogrammierschnittstelle (API) der Website zugänglich, sodass ein böswilliger Käufer auf die vorherigen „unsichtbaren“ Preise zugreifen kann.
Konkret bedeutet dies, dass die Änderung im Frontend der Website sichtbar ist, aber die gesamte Historie im Backend zugänglich bleibt.
So konnte der Hacker über die Rarible-Plattform auf frühere Preislistungen zugreifen und diese günstiger kaufen.
Die Schwachstelle wurde bereits am 31. Dezember über den Twitter-Nutzer @cap10bad gemeldet, aber das Problem scheint von OpenSea auch mehr als drei Wochen nach seiner Entdeckung noch nicht behoben worden zu sein.
OpenSea weiterhin Marktführer bei NFTs
Die NFTs-Austauschplattform OpenSea ist weiterhin Marktführer mit einer stetig wachsenden Nutzerzahl von ca. 457.000 Anfang 2022.
Monatlich aktive Nutzer auf OpenSea (Quelle: Dune Analytics)
Sie verzeichnete allein im Dezember ein monatliches Handelsvolumen von 3,24 Milliarden US-Dollar und lag damit weit vor ihrem Hauptkonkurrenten Rarible, der im selben Zeitraum „nur“ ein Handelsvolumen von 21 Millionen US-Dollar auf seiner Plattform beobachtete.
Die Sammlung des Bored Ape Yacht Club wurde bei diesem Hack nicht zufällig ausgewählt. Tatsächlich handelt es sich um die NFTs mit dem höchsten Tiefstpreis aller Sammlungen (derzeit 87,7 ETH, ca. 185.000 US-Dollar).
Die Marktkapitalisierung der BAYC beträgt derzeit 2,37 Milliarden US-Dollar. Viele Stars haben sich BAYC NFTs gekauft, darunter Stephen Curry, Post Malone, Jimmy Fallon, Snoop Dogg und kürzlich der Rapper Eminem.
