ჰაკერებმა გამოიყენეს არსებული ხარვეზი OpenSea-ს პლატფორმაზე, რათა შეეძინათ მილიონ დოლარზე მეტი ღირებულების მრავალი NFT მკვეთრი ექვსნიშნა ფასდაკლებით.
Elliptic იტყობინება NFT დაკარგვა OpenSea-ზე
NFT-ები მრავალ საფულეზე იყო გამიზნული ჰაკში, სადაც თავდამსხმელებმა შეძლეს მათი ყიდვა ადრე ჩამოთვლილ ფასებში მფლობელების გადაცემის გარეშე. OpenSea-ს ჯერ არ გაუკეთებია კომენტარი ან განცხადება თავდასხმასთან დაკავშირებით, რომელიც პირველად შენიშნა და მოახსენა ბლოკჩეინის ანალიტიკურმა კომპანია Elliptic-მა.
Elliptic-ის მთავარი მეცნიერისა და თანადამფუძნებლის, ტომ რობინსონის თქმით
„ექსპლოიტი, როგორც ჩანს, გამომდინარეობს იქიდან, რომ ადრე შესაძლებელი იყო NFT-ის ხელახალი ჩამოთვლა ახალ ფასად, წინა ჩამონათვალის გაუქმების გარეშე. ეს ძველი ჩამონათვალი ახლა გამოიყენება NFT-ების შესაძენად წარსულში მითითებულ ფასებში – ხშირად ამჟამინდელ საბაზრო ფასებზე დაბალი.
შეცდომის ექსპლუატაცია NFT-ების გასატაცებად
ერთ-ერთი NFT, რომელიც მოიპარეს ამ შეცდომის გამოყენებით, იყო Bored Ape #9991 პოპულარული Bored Ape Yacht Club კოლექციიდან. NFT იყიდეს 0.77 ETH-ად (დაახლოებით $1747), რაც მკვეთრად დაბალი ფასია Bored Ape NFT-ისთვის, რომელიც ჩვეულებრივ ასობით ათას დოლარად იყიდება. თუმცა, გაყიდვის დროს მფლობელმა არ იცოდა, რომ NFT იყო ჩამოთვლილი ასეთი დაბალი თანხისთვის. ამის შემდეგ მალევე, იგივე NFT გაიყიდა 84.2 ETH-ად (დაახლოებით 189,040 აშშ დოლარი), რაც მნიშვნელოვანი მოგება იყო $187,000-ზე მეტი.
აღმასრულებელმა დირექტორმა რობინსონმა მიუთითა სულ რვა NFT, რომლებიც მოიპარეს ამ გზით. საწყისი საფულეები ყველა განსხვავებული იყო, ხოლო თავდამსხმელის ჯამური საფულე მხოლოდ სამი იყო. სხვა თავდამსხმელის საფულემ შეძლო შვიდი NFT-ის შეძენა 133,000 დოლარად, ხოლო მესამემ შეიძინა კიდევ ერთი Bored Ape NFT 23 ETH-ად.
როგორ იქმნება ეს შეცდომა?
Twitter-ის თემაში, პროგრამული უზრუნველყოფის შემქმნელმა როტემ იაკირმა შეაჯამა, თუ როგორ შეიქმნა შეცდომა NFT სმარტ კონტრაქტებში არსებულ ინფორმაციასა და OpenSea-ს მომხმარებლის ინტერფეისის მიერ წარმოდგენილ ინფორმაციას შორის შეუსაბამობის შედეგად. საბოლოო ჯამში, შეცდომა თავდამსხმელებს საშუალებას აძლევს წვდომა მიიღონ კონტრაქტის ძველ ფასებზე, რომლებიც ჯერ კიდევ არსებობს ბლოკჩეინზე, მაგრამ დაბლოკილია OpenSea აპლიკაციაში. პოტენციური მყიდველები OpenSea-ზე აკეთებენ წინადადებას NFT მფლობელის მიერ დადგენილ ხილულ „სიის ფასზე“. მას შემდეგ რაც მყიდველი მიიღებს სიის ფასს, NFT-ის საკუთრება ავტომატურად გადაეცემა მას.
ხარვეზი იქმნება, როდესაც მფლობელებს სურთ ხელახლა განათავსონ თავიანთი NFT-ები უფრო მაღალ ფასად, მაგრამ არ სურთ გადაიხადონ გაზის გადასახადი პირველი ჩამონათვალის გასაუქმებლად. ამის ნაცვლად, ისინი გადააქვთ NFT სხვა საფულეში და შემდეგ ისევ თავდაპირველ საფულეში. ამის გაკეთება წაშლის ჩამონათვალს OpenSea-ს წინა ნაწილიდან. თუმცა, ორიგინალური ჩამონათვალი აქტიური რჩება ბლოკჩეინზე და მისი ნახვა შესაძლებელია OpenSea API-ს მეშვეობით.
საინტერესოა აღინიშნოს, რომ ეს შეცდომა აღმოაჩინეს ჯერ კიდევ 2021 წლის დეკემბერში. გარდა ამისა, 2022 წლის იანვარშიც კი, Twitter-ის თემამ შუქი გაანათა NFT-ების იძულებით გაყიდვაზე ამ მეთოდით. თუმცა, იმ დროისთვის OpenSea-ს პრევენციული ქმედება არ განხორციელებულა.
უარი პასუხისმგებლობაზე: ეს სტატია მოწოდებულია მხოლოდ ინფორმაციული მიზნებისთვის. ის არ არის შემოთავაზებული ან მიზნად ისახავს გამოყენებას იურიდიულ, საგადასახადო, საინვესტიციო, ფინანსურ ან სხვა რჩევად.
წყარო: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea