Hackers maakten gebruik van een bestaande bug in het OpenSea-platform om meerdere NFT's ter waarde van meer dan een miljoen dollar te kopen tegen drastische kortingen van zes cijfers.
Elliptic meldt NFT-verlies op OpenSea
NFT's in meerdere portefeuilles waren het doelwit van de hack, waar de aanvallers ze konden kopen tegen eerder vermelde prijzen zonder de eigenaren te tippen. OpenSea moet nog een opmerking of aankondiging doen over de aanval, die voor het eerst werd opgemerkt en gerapporteerd door blockchain-analysebedrijf Elliptic.
Volgens hoofdwetenschapper en mede-oprichter van Elliptic, Tom Robinson
“De exploit lijkt voort te komen uit het feit dat het voorheen mogelijk was om een NFT opnieuw aan te bieden tegen een nieuwe prijs, zonder de vorige aanbieding te annuleren. Die oude noteringen worden nu gebruikt om NFT’s te kopen tegen prijzen die in het verleden zijn gespecificeerd – vaak ver onder de huidige marktprijzen.”
Bug misbruikt om NFT's weg te rukken
Een van de NFT's die werd gestolen door deze bug te misbruiken, was Bored Ape #9991 uit de populaire Bored Ape Yacht Club-collectie. De NFT werd gekocht voor 0.77 ETH (ongeveer $ 1747), een drastisch lage prijs voor een Bored Ape NFT, die meestal voor honderdduizenden dollars wordt verkocht. De eigenaar was er echter ten tijde van de verkoop niet van op de hoogte dat NFT voor zo'n laag bedrag op de beurs stond. Kort daarna werd dezelfde NFT verkocht voor 84.2 ETH (ongeveer $ 189,040), goed voor een aanzienlijke winst van meer dan $ 187,000.
CEO Robinson heeft gewezen op in totaal acht NFT's die op deze manier zijn gestolen. De oorspronkelijke portefeuilles waren allemaal verschillend, terwijl de totale aanvaller-portefeuilles slechts drie waren. Een andere aanvaller-portemonnee kon zeven NFT's verwerven voor $ 133,000, terwijl een derde een andere Bored Ape NFT verwierf voor een magere 23 ETH.
Hoe is deze bug gemaakt?
In een Twitter-thread heeft softwareontwikkelaar Rotem Yakir samengevat hoe de bug is ontstaan door een mismatch tussen de informatie die beschikbaar is in slimme NFT-contracten en de informatie die wordt gepresenteerd door de gebruikersinterface van OpenSea. Uiteindelijk geeft de bug aanvallers toegang tot oude contractprijzen die nog steeds op de blockchain bestaan, maar niet zichtbaar zijn in de OpenSea-applicatie. Potentiële kopers op OpenSea bieden een bod op de zichtbare “catalogusprijs” zoals vastgesteld door de NFT-eigenaar. Zodra een koper de catalogusprijs accepteert, wordt het eigendom van de NFT automatisch aan hem overgedragen.
De bug wordt gecreëerd wanneer eigenaren hun NFT's opnieuw willen aanbieden tegen een hogere prijs, maar niet de gaskosten willen betalen om de eerste aanbieding te annuleren. Dus in plaats daarvan dragen ze de NFT over naar een andere portemonnee en vervolgens terug naar de oorspronkelijke portemonnee. Als u dit doet, wordt de vermelding verwijderd uit de front-end van OpenSea. De originele vermelding blijft echter actief op de blockchain en is te vinden via OpenSea API.
Het is interessant om op te merken dat deze bug al in december 2021 was ontdekt. Bovendien scheen zelfs in januari 2022 een Twitter-thread licht op de gedwongen verkoop van NFT's met deze methode. Er is destijds echter geen preventieve actie ondernomen door OpenSea.
Disclaimer: dit artikel is alleen bedoeld voor informatieve doeleinden. Het wordt niet aangeboden en is niet bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
Bron: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea