Exploit umożliwił kupowanie na OpenSea rzadkich NFT za ułamek ich wartości

Hakerzy wykorzystali exploita, by okraść właścicieli NFT wystawionych na sprzedaż na platformie OpenSea. Dzięki temu kupowano tokeny za ułamek ich prawdziwej wartości.

OpenSea to jeden z największych i najpopularniejszych rynków służących do handlu NFT. Każdy kto stworzy jakiś token, może go tam wystawić licząc na zainteresowanie klientów i tym samym duży zarobek. Ze wspomnianej platformy korzystał m.in., indonezyjski student, który na sprzedaży własnych selfie zarobił niemal 4 mln zł.

Niestety nie wszystkie osoby korzystające z tego rynku mogą być zadowolone. Wykorzystano bowiem exploit, który umożliwił hakerom zakup rzadkich NFT, znacznie poniżej ich rynkowej wartości. W niektórych przypadkach właściciele tokenów stracili z tego powodu setki tysięcy dolarów.

Bug OpenSea naraził na duże straty

Co ciekawe exploit obecny jest już od co najmniej kilku tygodni, ale dotąd go nie naprawiono. Wspomina o jeden z użytkowników Twittera, który opisuje sytuację umożliwiającą sprzedaż tokena nawet po jego usunięciu z portfela. Stracił on w ten sposób NFT z kolekcji Bored Aped i błagał o jego zwrot obiecując poniesienie wszystkich opłat.

Firma Coindesk odkryła go natomiast 31 grudnia zeszłego roku, opisując szczegóły wykorzystania błędu.

W ostatnich dniach zaczęto jednak masowo go wykorzystywać. Według firmy Elliptic zajmującej się analizą blockchain, tylko w ciągu 12 godzin poprzedzających dzisiejszy poranek, buga wykorzystano aż ośmiokrotnie. Pozwoliło to skraść NFT o rynkowej wartości przekraczającej milion dolarów.

Firma zidentyfikowała co najmniej trzech atakujących, którzy wykorzystali exploita kupując co najmniej osiem NFT. Tokeny należały do kolekcji Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats i Cyberkongz.

Jeden z atakujących zapłacił dziś 133 tys. dolarów za siedem NFT, błyskawicznie odsprzedając je za 934 tys. dolarów. Pięć godzin później przepuścił posiadane fundusze przez usługę Tornado Cash. To serwis wykorzystywany do uniemożliwienia śledzenia funduszy. Co ciekawe, częściowo zrekompensował straty dwóm ofiarom, wysyłając im odpowiednio 13 ETH i 20 ETH.

Exploit wykorzystano do zakupu ośmiu tokenów

Wykorzystując tę metodę zakupiono m.in., NFT Bored Ape Yacht Club #9991, płacąc za niego 0,77 ETH (około 7,3 tys zł.), a następnie szybko odsprzedano za 84,2 ETH (niemal 800 tys. zł). Atakujący w krótkim czasie zarobił więc na transakcji ponad 720 tys zł. Co ciekawe, adres Ethereum połączony ze sprzedawcą, w ciągu tego samego 12-godzinnego okresu czasu, otrzymał od OpenSea ponad 400 ETH (3,8 mln zł).

Według jednego z programistów, błąd jest spowodowany niezgodnością między informacjami dostępnymi w inteligentnych kontraktach NFT, a informacjami prezentowanymi przez interfejs użytkownika OpenSea. Zasadniczo atakujący wykorzystują stare kontrakty, które pozostają w blockchain, ale nie ma ich już w widoku zapewnianym przez aplikację platformy.

Użytkownicy platformy sprzedają NFT ustawiając cenę, którą widzą potencjalni nabywcy. Ze względu na charakter inteligentnych kontraktów, jeśli kupujący ją zaakceptuje, NFT zostanie automatycznie przeniesiony do jego portfela. Gdy właściciel chce ponownie wystawić token za wyższą cenę, właściwym sposobem na to jest anulowanie pierwszej aukcji. To jednak wymaga uiszczenia sporej opłaty. Użytkownicy omijają to więc, przenosząc tokeny do innego portfela, a następnie z powrotem do oryginalnego portfela.

OpenSea na razie nie komentuje całej sytuacji, więc trudno powiedzieć jakie podejmie w tej sprawie działania.

Źródło