OpenSea huet elo 750 Ethereum rembourséiert, ongeféier $ 1.8 Milliounen, fir Benotzer déi zoufälleg wäertvoll NFTs verkaaft bei wäit ënner hirem gaang Maartrate duerch en Ausbeutung mat "inaktiv Opféierungen. "
Viru kuerzem sinn e puer Benotzer vun de féierende NFT› Maartplaz hate beschwéiert, datt hir Blue Chip NFTs, wéi déi, déi zu der Sammlung Bored Ape Yacht Club (BAYC) gehéieren, zu alen, bëllegen Oplëschtungspräisser kaaft goufen. Dës Lëschte goufen ni op der Blockchain annuléiert, och wann d'Benotzerinterface op OpenSea virgeschloen huet datt se gewiescht wieren.
Wéi ass dat geschitt? Tech-ervirhiewen Keefer hunn Servicer wéi Tornado Cash benotzt fir Suen an Krypto Portemonnaie Adressen ze trennen ouni d'Quell ze verroden an dës Fongen ze benotzen fir NFTs zu alen Oplëschtungspräisser ze kafen.
Dës Exploit ass net nei. Déi Ethereum blockchain erfuerdert d'Benotzer eng Gasgebühr ze bezuelen fir Transaktiounen auszeféieren, dorënner d'Annulatioun vun enger Oplëschtung op OpenSea déi nach net ofgelaf ass. Awer ier OpenSea auswielbar Verfallsdatum op Oplëschtungen implementéiert huet, hu vill NFT-Inhaber inaktiv Oplëschtungen déi keen Verfallsdatum haten an doduerch manuell Annulatioun iwwer e bezuelte Gasgebühr erfuerderen. Ofgelaf Lëschte si gutt, awer inaktiv Lëschte stellen e Risiko.
An engem Effort fir ze vermeiden Ethereum Gas Fraisen ze bezuelen, déi dacks an Honnerte vun Dollar fir eng eenzeg Transaktioun lafen kënnen, hunn e puer NFT Besëtzer e Schleifen fonnt. Wa se den NFT op e sekundäre Portemonnaie transferéiert hunn, an dann zréck an den éischte Portemonnaie, ass d'Lëscht op der OpenSea UI verschwonnen.
Awer a Wierklechkeet ass d'Lëscht einfach vun "aktiv" op "inaktiv" gaang. An inaktiv Lëschte kënnen nach ëmmer vu Blockchain Experten kaaft ginn, déi direkt mat de Smart Kontrakter selwer interagéieren, net OpenSea's UI.
Als Äntwert huet OpenSea eng "inaktiv Oplëschtung" Feature op sengem Desktop Site ausgerullt Januar 24. Si hunn net geäntwert Decryptseng fréier Ufro fir Kommentar.
E puer BAYC Inhaber goufen vun OpenSea fréier dës Woch gesot datt si e puer Ethereum fir hire Verloscht rembourséiert ginn. Den Tballer, deen den Ape #9991 fir 0.77 ETH (ongeféier $ 1,700) verluer huet, huet gesot Decrypt de 25. Januar datt hie gefillt huet datt hien eng "zimmlech lues Äntwert" vun OpenSea kritt huet awer "freet datt si bei mech zréckkoum."
"D'[NFT] Gemeinschaft huet mir duerch dëst gehollef," sot den Tballer Decrypt. "D'Nuecht wou et geschitt ass, war ech zimlech no heem ze goen an alles ze verkafen."
Tballer's Ape schéngt elo ze gehéieren Juan Fdez, déi zwee vun den Apen kaaft hunn, déi onerwaart verkaf goufen. Fdez hält och BAYC # 8924, déi fir 6.66 ETH (ongeféier $ 17,000) geschloe gouf. Fdez huet net geäntwert DecryptDemande fir Kommentar.
Wann den Tballer seng Ape zréck wëllt, muss hien 130 ETH bezuelen ($ 330,000).
De 26. Januar huet OpenSea eng E-Mail un NFT-Besëtzer mat inaktiven Oplëschtungen geschéckt an hinne gesot, "w.e.g. dréngend ze handelen fir all inaktiv Annoncen ze annuléieren."
Dës Instruktiounen hunn e puer Bedenken ausgeléist, wéi den NFT Sammler Dingaling an engem argumentéiert huet laangen Twitter thread datt d'E-Mail "onheemlech onverantwortlech vun hirer Säit war an d'Saache 100x méi schlëmm mécht. Dëst mécht den Ausbeutung tatsächlech vill méi einfach auszeféieren.
1/ OPGEPASST: NET ANNULÉIERT ÄR OS-LISTINGER SÉI AN DER E-Mail uginn, DÉI OPENSEA JUST ERUS GESCHECKT ??
Transfert w.e.g. FIRST Ären NFT op eng aner Adress an annuléiert d'Lëscht/en op der ursprénglecher Adress IERT Dir se zréckschéckt
OS just jiddereen op nach méi Risiko wéi virdrun?
— dingaling (@dingalingts) Januar 27, 2022
Andeems Dir einfach d'Benotzer seet fir inaktiv Lëschten een nom aneren op der OpenSea Websäit ze annuléieren, huet et d'Exploitanten tatsächlech erlaabt Akeef op aner inaktiv Lëschten auszeféieren. Zum Beispill, Mutant Ape Yacht Club Halter Swolfchan huet hiren Ape an hirem Haaptportemonnaie gehal an eng 15 ETH inaktiv Oplëschtung annuléiert. Duerno hu se geplangt eng 6 ETH Oplëschtung ze annuléieren.
Awer tëscht der Zäit wou et de Swolfchan gedauert huet fir déi éischt inaktiv Oplëschtung ze annuléieren an op déi zweet ze goen, huet en Exploitateur hiren Ape fir de 6 ETH Präis kaaft.
Dingaling erkläert, datt wann Swolfchan den Ape zu engem anere Portemonnaie transferéierte, dann all Oplëschtung annuléiert, dann geplënnert Ape zréck an d'Haaptportemonnaie, si wier sécher gewiescht. Awer OpenSea schéngt dës Instruktiounen net a senger initialer E-Mail ze bidden.
OpenSea Matgrënner Alex Atallah sot dem Dingaling de 27. Januar datt "dëst Thema fixéieren ass eis #1 Firma Prioritéit. Mir hunn en Team dat drun schafft an elo eng Géigemoossnam mécht.
Wat dës Léisunge kéinte sinn, huet de Ledger CTO Charles Guillemet e puer Iddien: "En aneren Design hätt esou en Thema vermeide kënnen," sot hien. Decrypt. De Guillemet argumentéiert datt d'UI op OpenSea méi kloer fir d'Benotzer sollt gewiescht sinn. "D'Transfert vum NFT sollt d'Verkafsbestellung net vun der UI erofhuelen," sot hien.
Quell: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit