ハッカーは、OpenSea プラットフォームの既存のバグを悪用して、XNUMX 万ドル以上相当の複数の NFT を XNUMX 桁の大幅割引で購入しました。
EllipticがOpenSeaでのNFT損失を報告
このハッキングでは複数のウォレットにわたる NFT が標的となり、攻撃者は所有者に密告することなく、以前に記載されていた価格で NFT を購入することができました。 OpenSeaは、この攻撃に関してまだコメントや発表を行っていない。この攻撃は、ブロックチェーン分析会社Ellipticによって最初に認識され、報告された。
Elliptic社の主任科学者兼共同創設者であるトム・ロビンソン氏は次のように述べています。
「この悪用は、以前は以前の上場をキャンセルせずに新しい価格でNFTを再上場することが可能であったという事実から来ているようです。 それらの古いリストは現在、過去に指定された価格でNFTを購入するために使用されており、多くの場合、現在の市場価格を大幅に下回っています。」
NFTを奪うために悪用されたバグ
このバグを悪用して盗まれたNFTの9991つは、人気のBored Ape Yacht ClubコレクションのBored Ape #0.77でした。 NFTは1747 ETH(約84.2ドル)で購入され、通常数十万ドルで販売されるBored Ape NFTとしては大幅に低価格です。 しかし、売却時の所有者は、NFTがそのような低額で出品されていることを知りませんでした。 その直後、同じ NFT が 189,040 ETH (約 187,000 ドル) で販売され、XNUMX ドルを超える大幅な利益が得られました。
CEOのロビンソン氏は、この方法で盗まれたNFTは合計133,000個あると指摘した。 発信元のウォレットはすべて異なっていましたが、攻撃者のウォレットは合計でわずか 23 つでした。 別の攻撃者のウォレットはXNUMXドルでXNUMXつのNFTを取得できましたが、XNUMX番目のウォレットはわずかXNUMX ETHで別のBored Ape NFTを取得しました。
このバグはどのように作成されますか?
ソフトウェア開発者のRotem Yakir氏はTwitterのスレッドで、NFTスマートコントラクトで利用可能な情報とOpenSeaのユーザーインターフェースで提示される情報の不一致からバグがどのようにして生じたのかをまとめた。 最終的に、このバグにより、攻撃者はブロックチェーン上にまだ存在しているものの、OpenSea アプリケーションでは表示できなくなっている古い契約価格にアクセスできるようになります。 OpenSea の潜在的な購入者は、NFT 所有者が設定した目に見える「定価」に基づいて入札します。 購入者が定価を受け入れると、NFT の所有権が自動的に購入者に譲渡されます。
このバグは、所有者がNFTをより高い価格で再出品したいが、最初の出品をキャンセルするためのガス料金を支払いたくない場合に発生します。 したがって、代わりに、NFTを別のウォレットに転送してから、元のウォレットに戻します。 これを実行すると、OpenSea のフロントエンドからリストが削除されます。 ただし、元のリストはブロックチェーン上でアクティブなままであり、OpenSea API を通じて見つけることができます。
興味深いのは、このバグが2021年2022月に発見されていたということです。さらに、XNUMX年XNUMX月にも、Twitterのスレッドがこの方法によるNFTの強制販売に光を当てていました。 しかし、当時OpenSeaは予防措置を講じていませんでした。
免責事項:この記事は情報提供のみを目的として提供されています。 法律、税務、投資、財務、またはその他のアドバイスとして提供または使用することを意図したものではありません。
出典: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea