Die Behebung dieses Problems hat für den NFT-Marktplatz „höchste Priorität“, sagt Mitbegründer Alex Atalla.
OpenSea hat jetzt 750 Ethereum, etwa 1,8 Millionen Dollar, an Nutzer zurückerstattet, die versehentlich wertvolle NFTs zu einem Preis weit unter dem Marktwert verkauft haben, und zwar durch einen Exploit, bei dem es um „inaktive Angebote“ ging.
Kürzlich hatten sich mehrere Nutzer des führenden NFT-Marktplatzes darüber beschwert, dass ihre erstklassigen NFTs, wie z.B. die der Bored Ape Yacht Club (BAYC)-Sammlung, zu alten, billigen Listenpreisen gekauft worden waren. Diese Inserate wurden nie auf der Blockchain gelöscht, obwohl die Benutzeroberfläche von OpenSea dies vermuten ließ.
Wie konnte das passieren? Technisch versierte Käufer haben Dienste wie Tornado Cash genutzt, um Geld in Krypto-Wallet-Adressen zu leiten, ohne die Quelle offenzulegen, und diese Mittel zum Kauf von NFTs zu alten Listenpreisen zu verwenden.
Diese Masche ist nicht neu. Die Ethereum-Blockchain verlangt von den Nutzern eine Gasgebühr, um Transaktionen auszuführen, einschließlich der Stornierung einer Auflistung auf OpenSea, die noch nicht ausgelaufen ist. Bevor OpenSea jedoch auswählbare Verfallsdaten für Angebote einführte, hatten viele NFT-Inhaber inaktive Angebote, die kein Verfallsdatum hatten und daher eine manuelle Löschung durch eine bezahlte Gasgebühr erforderten. Abgelaufene Inserate sind in Ordnung, aber inaktive Inserate stellen ein Risiko dar.
Um die Zahlung von Ethereum-Gasgebühren zu vermeiden, die für eine einzige Transaktion oft in die Hunderte von Dollar gehen können, fanden einige NFT-Besitzer ein Schlupfloch. Wenn sie die NFT auf eine zweite Wallet und dann zurück auf die erste Wallet transferierten, verschwand der Eintrag auf der OpenSea-Benutzeroberfläche.
8924, der für 6,66 ETH (etwa 17.000 $) gestohlen wurde. Fdez hat auf unsere Anfrage nach einem Kommentar nicht reagiert.
Wenn Tballer seine Ape zurückhaben will, muss er 130 ETH ($330.000) zahlen.
Tballers Ape hat einen neuen Besitzer.
Am 26. Januar hat OpenSea eine E-Mail an NFT-Besitzer mit inaktiven Angeboten verschickt, in der sie aufgefordert wurden, „bitte dringend zu handeln und alle inaktiven Angebote zu löschen“.
Diese Anweisungen lösten einige Bedenken aus, da NFT-Sammler Dingaling in einem langen Twitter-Thread argumentierte, dass die E-Mail „unglaublich unverantwortlich von ihnen ist und die Dinge 100x schlimmer macht. Das macht die Ausführung des Exploits tatsächlich viel einfacher. „
1/ WARNUNG: STORNIEREN SIE NICHT IHRE OS-LISTINGS, WIE IN DER EMAIL, DIE OPENSEA GERADE VERSCHICKT HAT
Bitte überweisen Sie Ihre NFT zunächst an eine andere Adresse und löschen Sie die Auflistung(en) an der ursprünglichen Adresse, BEVOR Sie sie zurückschicken
OS hat gerade alle einem noch größeren Risiko ausgesetzt als zuvor
– dingaling (@dingalingts) Januar 27, 2022
Durch die einfache Aufforderung an die Nutzer, inaktive Angebote auf der OpenSea-Website nacheinander zu löschen, wurde es den Ausbeutern ermöglicht, Käufe auf anderen inaktiven Angeboten durchzuführen. Zum Beispiel behielt Swolfchan, der Inhaber des Mutant Ape Yacht Club, seinen Ape in seinem Haupt-Wallet und löschte ein inaktives Angebot mit 15 ETH. Danach plante er, eine 6-ETH-Liste zu löschen.
Aber in der Zeit, die Swolfchan brauchte, um das erste inaktive Listing zu löschen und zum zweiten überzugehen, kaufte ein Exploiter seine Ape für den Preis von 6 ETH.
Dingaling erklärte, dass sie sicher gewesen wären, wenn Swolfchan die Ape auf eine andere Wallet übertragen hätte, dann alle Auflistungen gelöscht und die Ape dann zurück auf die Haupt-Wallet verschoben hätte. Aber OpenSea schien diese Anweisungen in seiner ursprünglichen E-Mail nicht zu geben.
Der Mitbegründer von OpenSea, Alex Atallah, sagte am 27. Januar zu Dingaling, dass „die Behebung dieses Problems unsere oberste Priorität ist. Wir haben ein Team, das daran arbeitet und jetzt eine Gegenmaßnahme einführt.“
Was diese Lösungen angeht, hat Ledger CTO Charles Guillemet ein paar Ideen: „Ein anderes Design hätte ein solches Problem vermeiden können“, sagte er uns. Guillemet argumentiert, dass die Benutzeroberfläche von OpenSea für die Nutzer klarer hätte sein müssen. „Das Übertragen der NFT sollte den Verkaufsauftrag nicht aus der Benutzeroberfläche entfernen“, sagte er.
