詐欺師は、OpenSeaのバグを利用して、現在の出品よりもかなり安い価格で貴重なNFTを購入しているようです。
数人の研究者や開発者が現在進行中の問題について詳しく述べており、プラットフォームのバグを悪用して数十万ドル相当の特定のNFTが盗まれたと主張する人もいる。
OpenSea のバグによりプラットフォームがハッキングされる
報告によると、著名な非代替トークン(NFT)マーケットプレイスOpenSeaのフロントエンドの障害により、ユーザーが以前の上場価格で人気のNFTを取得できる悪用が発生したという。
この問題は、Bored Ape Yacht Club (BAYC) および Mutant Ape Yacht Club (MAYC) の NFT コレクションアイテムで蔓延しているようで、悪用者は元の定価でそれらを購入し、その後現在の市場価格で販売することができました。 BAYC #9991、BAYC #8924、MAYC #4986 が影響を受ける NFT です。
このハッキングは、NFTコレクターの「TBALLER」が、月曜日の早朝にレアなBored Ape #9991がわずか77ETH、つまり1,775ドルで落札されたとツイートしたことで明るみに出た。
やあみんな! Idk何が起こったのか、なぜ私の類人猿は.77で売れたのですか?????
— TBALLER.eth(@ T_BALLER6) 2022 年 1 月 24 日
「jpegdegenlove」と名乗るこの買い手は、ほぼ即座にエイプNFTを84.2ETH、つまり約200,000万ドルで換金した。 ユーザーは約 332ETH (754,000 ドル) をフリップすることができました。
報告されたエクスプロイトのEtherウォレットバランス出典:Etherscan
人気のセキュリティ会社 PeckShield のリアルタイム アラート ボットである PekShieldAlert は、本日初めに OpenSea のフロントエンドの欠陥について警告し、悪用された者が当時すでに約 332 万ドル相当の 750 ETH を入手していたことを指摘しました。
それが表示されていること @公海 フロントエンドに問題があり、悪用者は約 332 イーサを取得https://t.co/35kCB1n7nv
— PeckShieldAlert(@PeckShieldAlert) 2022 年 1 月 24 日
仮想通貨分析会社エリプティックによると、月曜日の朝以来、少なくともOpenSeastの攻撃者1名がその弱点を利用して、市場総額133,000万ドル強のNFTを購入したという。 同社のブログには「この欠陥を悪用して、ある攻撃者は本日、934,000つのNFTに総額XNUMX万XNUMXドルを支払った後、すぐにXNUMX万XNUMXドルで売り飛ばした」と書かれている。
で Twitterのスレッド, 分散型マネービジネスOrbs.comの開発者Rotem Yakir氏がこの脆弱性について説明した。 Yakir氏によると、NFTをキャンセルせずに再出品し、その後高価格で販売した人は、この不具合を通じてNFTをより安い価格で購入される可能性があるという。
今日の初め、セキュリティ研究者のタル・ベリー氏は、次のことによって Elliptic と Yakir の発見を裏付けました。 データの表示 イーサリアムブロックチェーンから、Bored Ape Yacht Club #8274 が 50,500 月に $22.9 (296,000 ETH) で購入され、約 $130 で転売されたことが確認されました。 (XNUMXETH)。
関連記事| Crypto.com(CRO)ハックで何がうまくいかなかったのですか? 専門家が参加
このエクスプロイトは新しいものではありません
31月XNUMX日の以前のエクスプロイトでも同様のシナリオが目撃されており、リストがキャンセルされずにOpenSeaウォレットから別のウォレットに資産が移管されたことから問題が発生したと思われます。
あるユーザーによると、OpenSeaを使用している人がNFTを売りに出した後、その広告をアクティブのままにしたくないと判断した場合、プラットフォームはその削除料金を請求することになるという。 ただし、これは高価になる可能性があるため、ユーザーはNFTを別のウォレットに転送してリストをキャンセルするという回避策を考案しました。
1 /最近ありました @公海 3 つの freshdrops パス、BAYC https://t.co/8pEgeXkOBo、複数の MAYC などを含む、アセットを大幅な割引価格で購入できるエクスプロイトです。 私は今朝いくつかの調査を行いましたが、ここで何が起こっているのですか - > a ??
—cap10bad.ΞTH | freshdrops.io(@ cap10bad) 2021 年 12 月 31 日
OpenSea は、この問題が報告された時点では対処しませんでした。
関連記事| BitMartは、ハッキングの犠牲者が払い戻しを待つため、ユーザーを既読のままにします
ユーザーは、OpenSeaのAPIを利用する別のNFTマーケットプレイスであるRaribleから自分のリストが削除されたかどうかを確認できます。 ユーザーによると、この欠陥は XNUMX 月の発生後に報告されましたが、解決するための措置は講じられませんでした。
ETH/USDは2,400ドルを超えて推移しています。 出典: TradingView
この問題は、分散型コインを使用する集中型サービスである OpenSea の意図された設計の結果として発生したことは注目に値します。 これをハッキングまたはバグとして分類することは困難です。 OpenSea は、これが自社のサービスの仕組みであり、これにより多数の詐欺が発生していることを消費者に通知しています。 OpenSea のバグは、これがずさんなマーケットプレイスであることを示しており、ユーザーが適切な慣行に従わない場合、より知識のあるユーザーによって悪用される可能性があります。
OpenSea のバグが未解決のセキュリティ上の欠陥として扱われるのか、それともユーザー エラーの結果として扱われるのかは、現時点では不明です。
Unsplash からの注目の画像、TradingView.com および Etherscan からのチャート
出典: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/