Het oplossen van dit probleem is de “eerste prioriteit” van de NFT-marktplaats, zegt medeoprichter Alex Atalla.
OpenSea heeft nu 750 Ethereum, ongeveer $1,8 miljoen, terugbetaald aan gebruikers die per ongeluk waardevolle NFT’s verkochten voor ver onder hun gangbare marktprijs door een exploit met “inactieve listings”.
Onlangs hadden verschillende gebruikers van de toonaangevende NFT’ marktplaats geklaagd dat hun blue chip NFTs, zoals die van de Bored Ape Yacht Club (BAYC) collectie, waren gekocht tegen oude, goedkope listing prijzen. Deze noteringen werden nooit geannuleerd op de blockchain, hoewel de gebruikersinterface op OpenSea suggereerde dat ze dat wel waren.
Hoe kon dit gebeuren? Tech-savvy kopers hebben diensten als Tornado Cash gebruikt om geld naar crypto-portemonnee-adressen te sluizen zonder de bron bekend te maken en gebruikten dat geld om NFT’s te kopen tegen oude noteringsprijzen.
Dit misbruik is niet nieuw. De Ethereum-blockchain vereist dat gebruikers een gasprijs betalen om transacties uit te voeren, inclusief het annuleren van een notering op OpenSea die nog niet is verlopen. Maar voordat OpenSea selecteerbare vervaldata op listings implementeerde, hadden veel NFT houders inactieve listings die geen vervaldatum hadden en dus handmatig geannuleerd moesten worden via een betaalde gas fee. Verlopen listings zijn prima, maar inactieve listings vormen een risico.
In een poging om Ethereum gas fees te vermijden, die vaak in de honderden dollars kunnen lopen voor een enkele transactie, vonden sommige NFT eigenaren een maas in de wet. Als ze de NFT overzetten naar een secundaire portemonnee, en dan weer terug naar de eerste portemonnee, verdwijnt de vermelding op de OpenSea UI.
8924, die was geveild voor 6,66 ETH (ongeveer $17.000). Fdez heeft niet gereageerd op ons verzoek om commentaar.
Als Tballer zijn Ape terug wil, zal hij 130 ETH ($330.000) moeten betalen.
Tballer’s Ape heeft een nieuwe eigenaar.
Op 26 januari stuurde OpenSea een e-mail naar NFT-eigenaars met inactieve aanbiedingen waarin hen werd gevraagd “dringend te handelen om inactieve aanbiedingen te annuleren”.
Deze instructies hebben tot enige bezorgdheid geleid, aangezien NFT verzamelaar Dingaling in een lange Twitter thread betoogde dat de e-mail “ongelooflijk onverantwoordelijk van hun kant was en de dingen 100x erger maakt. Dit maakt het eigenlijk veel makkelijker om de exploit uit te voeren. “
1/ WAARSCHUWING: ANNULEER UW OS LISTINGS NIET ZOALS VERMELD IN DE E-MAIL DIE OPENSEA ZOJUIST HEEFT VERZONDEN
Gelieve EERST uw NFT naar een ander adres over te brengen en de listing(s) op het oorspronkelijke adres te annuleren VOORDAT u het terugstuurt.
OS brengt iedereen in nog groter gevaar dan voorheen
– dingaling (@dingalingts) January 27, 2022
Door gebruikers eenvoudigweg te vertellen dat ze inactieve aanbiedingen op de OpenSea website één voor één moesten annuleren, konden exploitanten in feite aankopen doen op andere inactieve aanbiedingen. Bijvoorbeeld, Mutant Ape Yacht Club houder Swolfchan hield zijn Ape in zijn hoofdportemonnee en annuleerde een 15 ETH inactieve listing. Daarna waren ze van plan om een listing van 6 ETH te annuleren.
Maar tussen de tijd die Swolfchan nodig had om de eerste inactieve listing te annuleren en over te gaan naar de tweede, kocht een uitbuiter hun Ape voor de 6 ETH prijs.
Dingaling legde uit dat als Swolfchan de Ape overgezet had naar een andere portemonnee, vervolgens alle aanbiedingen geannuleerd had, en daarna de Ape teruggezet had naar de hoofdportemonnee, ze veilig zouden zijn geweest. Maar OpenSea leek deze instructies niet te geven in haar oorspronkelijke e-mail.
OpenSea mede-oprichter Alex Atallah vertelde Dingaling op 27 januari dat “het oplossen van dit probleem onze nummer 1 bedrijfsprioriteit is. We hebben een team dat er aan werkt en dat nu een tegenmaatregel opzet.”
Over wat die oplossingen zouden kunnen zijn, heeft Ledger CTO Charles Guillemet wel een paar ideeën: “Een ander ontwerp had zo’n probleem kunnen voorkomen,” vertelde hij ons. Guillemet stelt dat de UI op OpenSea duidelijker had moeten zijn voor gebruikers. “Het overzetten van de NFT zou de verkooporder niet uit de UI moeten verwijderen,” zei hij.
