Oplichters lijken misbruik te maken van een OpenSea-bug om waardevolle NFT's te kopen tegen een aanzienlijk lagere prijs dan hun huidige aanbieding.
Verschillende onderzoekers en ontwikkelaars hebben het aanhoudende probleem gedetailleerd beschreven, waarbij sommigen beweren dat specifieke NFT's ter waarde van honderdduizenden dollars zijn gestolen door misbruik te maken van de bug van het platform.
OpenSea Bug opent platform om te hacken
Volgens rapporten heeft een fout in de front-end van de prominente nonfungible token (NFT) marktplaats OpenSea geresulteerd in een exploit waarmee gebruikers populaire NFT's kunnen verwerven tegen hun eerdere aanbiedingsprijs.
Het probleem lijkt veel voor te komen bij Bored Ape Yacht Club (BAYC) en Mutant Ape Yacht Club (MAYC) NFT-verzamelobjecten, waar de uitbuiter ze kon kopen voor hun oorspronkelijke aanbiedingsprijs en ze vervolgens kon verkopen voor de huidige marktprijs. BAYC #9991, BAYC #8924 en MAYC #4986 behoren tot de getroffen NFT's.
De hack kwam aan het licht nadat NFT-verzamelaar "TBALLER" tweette dat hun zeldzame Bored Ape #9991 werd verkocht voor een schijntje van 77 ETH, of $ 1,775 op maandagochtend vroeg.
Joehoe jongens! Ik weet niet wat er net is gebeurd, waarom heeft mijn aap zojuist verkocht voor .77?????
— TBALLER.eth (@T_BALLER6) 24 januari 2022
De koper, die door "jpegdegenlove" gaat, draaide de aap NFT bijna onmiddellijk om voor 84.2 ETH, of ongeveer $ 200,000. De gebruiker heeft ongeveer 332ETH ($ 754,000) kunnen omdraaien.
Gerapporteerde uitbuiter Ether-portemonnee-saldo Bron: Etherscan
PekShieldAlert – de real-time alerts-bot van het populaire beveiligingsbedrijf PeckShield – waarschuwde eerder vandaag voor een OpenSea front-end-fout en merkte op dat de uitgebuite persoon op dat moment al 332 ETH had verkregen ter waarde van ongeveer $ 750.
Het blijkt dat @open zee heeft een front-end probleem en de uitbuiter heeft ongeveer 332 Ether gewonnenhttps://t.co/35kCB1n7nv
—PeckShieldAlert (@PeckShieldAlert) 24 januari 2022
Volgens cryptocurrency-analysebedrijf Elliptic hebben bij leaOpenSeast sinds maandagochtend drie aanvallers NFT's gekocht met een totale marktwaarde van iets meer dan $ 1 miljoen, gebruikmakend van de zwakte. "Door misbruik te maken van deze fout heeft één aanvaller vandaag in totaal $133,000 betaald voor zeven NFT's, voordat hij ze snel doorverkoopt voor $934,000", aldus de blog van het bedrijf.
In een Twitter thread, legde Rotem Yakir, een ontwikkelaar bij het gedecentraliseerde geldbedrijf Orbs.com, de kwetsbaarheid uit. Mensen die hun NFT's opnieuw aanboden zonder ze te annuleren en ze vervolgens voor een hogere prijs verkochten, konden ze door de storing tegen een lagere prijs laten kopen, aldus Yakir.
Eerder vandaag bevestigde beveiligingsonderzoeker Tal Be'ery de ontdekking van Elliptic en Yakir door gegevens weergeven van de Ethereum-blockchain, wat bevestigt dat Bored Ape Yacht Club #8274 in juli werd gekocht voor $ 50,500 (22.9 ETH) en doorverkocht voor ongeveer $ 296,000. (130 ETH).
Gerelateerd artikel | Wat ging er mis in de Crypto.com (CRO)-hack? Experts wegen mee
Deze uitbuiting is niet nieuw
Een eerdere exploit op 31 december was getuige van een soortgelijk scenario, waarbij een probleem leek te komen van de overdracht van activa van de OpenSea-portemonnee naar een aparte portemonnee zonder dat de notering werd geannuleerd.
Volgens één gebruiker, als iemand die OpenSea gebruikt een NFT te koop aanbiedt en later besluit dat hij niet wil dat die advertentie actief blijft, zal het platform kosten in rekening brengen voor de verwijdering ervan. Dit kan echter prijzig zijn, daarom bedachten gebruikers een oplossing waarbij ze de NFT naar een andere portemonnee overzetten, waardoor de vermelding werd geannuleerd.
1/ Onlangs is er een @open zee exploit waarmee activa tegen sterk gereduceerde prijzen kunnen worden gekocht, waaronder 3 freshdrops-passen, een BAYC https://t.co/8pEgeXkOBo, meerdere MAYC's en meer. Ik heb vanmorgen wat onderzoek gedaan en dit is wat er gebeurt -> een ??
— cap10bad.ΞTH | versdrops.io (@cap10bad) 31 december 2021
OpenSea heeft het probleem niet aangepakt toen het werd gemeld.
Gerelateerd artikel | BitMart laat gebruikers lezen terwijl slachtoffers van hack wachten op terugbetalingen
Gebruikers kunnen zien of hun vermelding is verwijderd van Rarible, een andere NFT-marktplaats die gebruik maakt van OpenSea's API. Volgens de gebruiker werd de fout gemeld na het voorval in december, maar werd er geen actie ondernomen om het op te lossen.
ETH/USD zweeft boven $2,400. Bron: TradingView
Het is vermeldenswaard dat dit probleem is ontstaan als gevolg van het beoogde ontwerp van OpenSea, een gecentraliseerde service die gedecentraliseerde munten gebruikt. Het is moeilijk om dit te classificeren als een hack of zelfs een bug. OpenSea informeert consumenten dat dit is hoe haar service werkt, wat heeft geresulteerd in tal van oplichting. De OpenSea-bug laat zien dat het een slordige marktplaats is, en als gebruikers niet voorzichtig zijn om de juiste werkwijzen te volgen, kunnen ze worden uitgebuit door slimmere gebruikers.
Of de OpenSea-bug wordt behandeld als een open beveiligingsfout of als gevolg van een gebruikersfout, is momenteel onduidelijk.
Uitgelichte afbeelding van Unsplash, grafiek van TradingView.com en Etherscan
Bron: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/