Naprawienie tego problemu jest dla rynku NFT „priorytetem numer jeden”, mówi współzałożyciel Alex Atalla.
OpenSea zwróciło już 750 Ethereum, czyli około 1,8 miliona dolarów, użytkownikom, którzy przypadkowo sprzedali cenne NFT znacznie poniżej ich ceny rynkowej, wykorzystując exploit związany z „nieaktywnymi listami”.
Niedawno kilku użytkowników wiodącego rynku NFT skarżyło się, że ich NFT blue chipy, takie jak te należące do kolekcji Bored Ape Yacht Club (BAYC), zostały zakupione po starych, tanich cenach. Te aukcje nigdy nie zostały anulowane w blockchainie, mimo że interfejs użytkownika OpenSea sugerował, że zostały anulowane.
Jak do tego doszło? Zaawansowani technicznie kupcy korzystali z usług takich jak Tornado Cash, aby przelać pieniądze na adresy portfeli kryptowalutowych bez ujawniania źródła i wykorzystywać te fundusze do zakupu NFT po starych cenach.
Ten exploit nie jest nowy. Blockchain Ethereum wymaga od użytkowników uiszczenia opłaty za gaz, aby wykonać transakcje, w tym anulować ofertę na OpenSea, która jeszcze nie wygasła. Zanim jednak OpenSea wprowadziła możliwość wyboru daty wygaśnięcia ofert, wielu posiadaczy NFT miało nieaktywne oferty, które nie miały daty wygaśnięcia, a zatem wymagały ręcznego anulowania poprzez uiszczenie opłaty za gaz. Wygasłe oferty są w porządku, ale nieaktywne oferty stanowią ryzyko.
Starając się uniknąć opłat za gaz Ethereum, które często sięgają setek dolarów za pojedynczą transakcję, niektórzy właściciele NFT znaleźli lukę. Jeśli przenieśli oni NFT do drugiego portfela, a następnie z powrotem do pierwszego portfela, lista znikała z interfejsu OpenSea.
Ale w rzeczywistości, lista po prostu przeszedł z „aktywny” do „nieaktywny”. A nieaktywne oferty nadal mogą być kupowane przez ekspertów blockchain, którzy wchodzą w interakcję bezpośrednio z samymi inteligentnymi kontraktami, a nie z interfejsem OpenSea.
W odpowiedzi, OpenSea wprowadziła funkcję „nieaktywnych ofert” na swojej stronie desktopowej 24 stycznia. Nie odpowiedzieli oni na naszą poprzednią prośbę o komentarz.
Niektórzy posiadacze BAYC zostali poinformowani przez OpenSea na początku tego tygodnia, że otrzymają zwrot części Ethereum za swoją stratę. Tballer, który stracił Ape 8924, która została skradziona za 6,66 ETH (około 17 000 $). Fdez nie odpowiedział na naszą prośbę o komentarz.
Jeśli Tballer chce odzyskać swoją Ape, będzie musiał zapłacić 130 ETH ($330,000).
Małpa Tballera ma nowego właściciela.
W dniu 26 stycznia OpenSea rozesłała do właścicieli NFT z nieaktywnymi listami email z informacją, że „prosimy o pilne działanie w celu anulowania wszelkich nieaktywnych list”.
Instrukcje te wywołały pewne obawy, jako że kolekcjoner NFT, Dingaling, argumentował w długim wątku na Twitterze, że email był „niewiarygodnie nieodpowiedzialny z ich strony i pogarsza sytuację o 100x. To w rzeczywistości sprawia, że exploit jest znacznie łatwiejszy do wykonania. „
1/ OSTRZEŻENIE: NIE ANULUJ SWOICH AUKCJI OS, JAK STWIERDZONO W MAILU WYSŁANYM WŁAŚNIE PRZEZ OPENSEA
Proszę PIERWSZE przenieść swoje NFT na inny adres i anulować ofertę/oferty na oryginalnym adresie PRZED odesłaniem jej z powrotem.
OS właśnie naraził wszystkich na jeszcze większe ryzyko niż wcześniej
– dingaling (@dingalingts) January 27, 2022
Mówiąc użytkownikom, aby po prostu anulowali nieaktywne oferty jedna po drugiej na stronie OpenSea, w rzeczywistości pozwoliło to exploitom na dokonywanie zakupów na innych nieaktywnych ofertach. Na przykład, posiadacz Mutant Ape Yacht Club, Swolfchan, trzymał swoją Ape w głównym portfelu i anulował nieaktywny wpis o wartości 15 ETH. Po tym, planował anulować wpis o wartości 6 ETH.
Ale w czasie, gdy Swolfchan anulować pierwszy nieaktywny wpis i przejść do drugiego, exploiter kupił ich Ape na 6 ETH ceny.
Dingaling wyjaśnił, że jeśli Swolfchan przeniósł Ape do innego portfela, a następnie anulował wszystkie aukcje, a następnie przeniósł Ape z powrotem do głównego portfela, byliby bezpieczni. OpenSea nie podała jednak tych instrukcji w swoim wstępnym e-mailu.
Współzałożyciel OpenSea Alex Atallah powiedział Dingaling 27 stycznia, że „naprawienie tego problemu jest naszym priorytetem nr 1 w firmie. Mamy zespół pracujący nad tym i wprowadzający środki zaradcze już teraz.”
Jeśli chodzi o to, jakie mogą być te rozwiązania, Ledger CTO Charles Guillemet ma kilka pomysłów: „Inny projekt mógłby uniknąć takiego problemu”, powiedział nam. Guillemet argumentuje, że UI na OpenSea powinien był być bardziej przejrzysty dla użytkowników. „Przekazanie NFT nie powinno usuwać zlecenia sprzedaży z UI” – powiedział.
