💬 OpenSea возвращает 1,8 миллиона долларов в Ethereum пользователям, которые потеряли NFT из-за уязвимости «неактивный листинг»

OpenSea возвращает 1,8 миллиона долларов в Ethereum пользователям, которые потеряли NFT из-за уязвимости «неактивный листинг»

OpenSea теперь возместила 750 Ethereum, около 1,8 миллиона долларов, пользователям, которые случайно продали ценные NFT по цене значительно ниже их текущей рыночной цены с помощью эксплойта, связанного с «неактивными листингами».

Недавно несколько пользователей ведущего рынка NFT› пожаловались на то, что их NFT «голубых фишек», например принадлежащие коллекции Bored Ape Yacht Club (BAYC), были куплены по старым низким ценам листинга. Эти списки никогда не отменялись в блокчейне, хотя пользовательский интерфейс OpenSea предполагал, что это было.

Как это произошло? Технически подкованные покупатели используют такие сервисы, как Tornado Cash, для направления денег на адреса криптовалютных кошельков, не раскрывая источника, и используют эти средства для покупки NFT по старым ценам листинга.

Этот эксплойт не нов. Блокчейн Ethereum требует, чтобы пользователи платили за газ для выполнения транзакций, включая отмену листинга на OpenSea, срок действия которого еще не истек. Но до того, как OpenSea внедрила выбираемые даты истечения срока действия для списков, у многих держателей NFT были неактивные списки, у которых не было даты истечения срока действия, и поэтому требовалось ручное аннулирование с помощью платной платы за газ. С просроченными объявлениями все в порядке, но неактивные объявления представляют собой риск.

Некоторые владельцы NFT нашли лазейку, чтобы избежать уплаты комиссий за газ Ethereum, которые часто могут достигать сотен долларов за одну транзакцию. Если они переводили NFT во второй кошелек, а затем обратно в первый кошелек, список исчезал в пользовательском интерфейсе OpenSea.

Но на самом деле листинг просто перешел из «активного» в «неактивный». А неактивные списки по-прежнему могут быть приобретены экспертами по блокчейну, которые напрямую взаимодействуют с самими смарт-контрактами, а не с пользовательским интерфейсом OpenSea.

В ответ OpenSea 24 января развернула функцию «неактивные списки» на своем сайте для компьютеров. Они не ответили на предыдущий запрос Decrypt о комментариях.

Некоторым держателям BAYC ранее на этой неделе OpenSea сообщила, что им будет возмещена часть Ethereum за их потерю. Tballer, который потерял Ape # 9991 за 0,77 ETH (около 1700 долларов США), сказал Decrypt 25 января, что, по его мнению, он получил «довольно медленный ответ» от OpenSea, но был «рад, что они вернулись ко мне».

«Сообщество [NFT] помогло мне в этом», — сказал Тбаллер Decrypt. «В ту ночь, когда это случилось, я был близок к тому, чтобы пойти домой и продать все».

Обезьяна Тбаллера теперь, похоже, принадлежит Хуану Фдесу, который купил двух обезьян, которые были случайно проданы. Fdez также владеет BAYC #8924, который был украден за 6,66 ETH (около 17 000 долларов США). Fdez не ответил на запрос Decrypt о комментариях.

Если Tballer хочет вернуть свою Ape, ему придется заплатить 130 ETH (330 000 долларов США).

26 января OpenSea разослала владельцам NFT электронное письмо с неактивными листингами, в котором говорилось: «Пожалуйста, примите срочные меры, чтобы отменить все неактивные листинги».

Эти инструкции вызвали некоторые опасения, поскольку коллекционер NFT Дингалинг заявил в длинной ветке Twitter, что электронное письмо было «невероятно безответственным с их стороны и усугубляет ситуацию в 100 раз. На самом деле это значительно упрощает выполнение эксплойта».

1/ ВНИМАНИЕ: НЕ ОТМЕНЯЙТЕ СПИСКИ СВОИХ ОС, КАК УКАЗАНО В ЭЛЕКТРОННОМ ПИСЬМЕ, КОТОРЫЙ OPENSEA ТОЛЬКО ОТПРАВИЛ ?? Пожалуйста, СНАЧАЛА перенесите свой NFT на другой адрес и отмените листинги на исходном адресе ПЕРЕД отправкой его обратно. ОС просто подвергла всех еще большему риску, чем раньше? — дингалинг (@dingalingts) 27 января 2022 г.

СНАЧАЛА перенесите свой NFT на другой адрес и отмените листинги по исходному адресу ПЕРЕД отправкой обратно

Операционная система подвергает всех еще большему риску, чем раньше?

– dingaling (@dingalingts) 27 января 2022 г.

Просто предлагая пользователям отменять неактивные списки один за другим на веб-сайте OpenSea, он фактически позволял злоумышленникам совершать покупки на других неактивных списках. Например, владелец яхт-клуба Mutant Ape Swolfchan оставил Ape в своем основном кошельке и отменил неактивный листинг на 15 ETH. После этого они планировали отменить листинг на 6 ETH.

Но в промежутке между тем, как Swolfchan отменил первый неактивный листинг и перешел на второй, эксплуататор купил их Ape по цене 6 ETH.

Дингалинг объяснил, что если бы Swolfchan перевел Ape на другой кошелек, затем отменил все списки, а затем переместил Ape обратно в основной кошелек, они были бы в безопасности. Но похоже, что OpenSea не предоставила эти инструкции в своем первоначальном электронном письме.

Соучредитель OpenSea Алекс Аталла сказал Дингалингу 27 января, что «решение этой проблемы является приоритетом нашей компании номер один. У нас есть команда, которая работает над этим и сейчас принимает контрмеры».

Что касается этих решений, то у технического директора Ledger Чарльза Гиллеме есть несколько идей: «Другой дизайн мог бы избежать такой проблемы», — сказал он Decrypt. Гиллеме утверждает, что пользовательский интерфейс OpenSea должен был быть более понятным для пользователей. «Перенос NFT не должен удалять ордер на продажу из пользовательского интерфейса», — сказал он.