Один из крупнейших NFT-маркетплейсов, OpenSea, возместил около $1,8 млн пользователям, пострадавшим от недавнего взлома платформы.
24 января 2022 года некоторые пользователи OpenSea увидели, что их ценные невзаимозаменяемые токены продаются по заниженным ценам хакерами, которые воспользовались уязвимостью, возникшей в процессе листинга OpenSea, чтобы приобрести эти NFT со скидкой почти 98% и впоследствии перепродать их гораздо дороже.
"Баг" OpenSea
OpenSea построена на блокчейне Ethereum, который печально известен своими запредельными комиссиями за газ. Поэтому, чтобы сократить расходы на транзакции, торговая площадка NFT проводит большинство своих операций вне цепочки, пока эти транзакции не отправлены в блокчейн для расчетов.
Чтобы выставить актив на продажу, продавцы NFT на платформе должны подписать внецепочечные данные, подтверждающие сумму, на которую они хотят продать свои NFT. Однако проблема возникает, когда продавцы решают отправить сообщение в блокчейн, чтобы отменить первоначальный листинг.
Чтобы не платить за газ, продавцы просто переводят NFT на другой кошелек, что делает первоначальное предложение недействительным, поскольку NFT больше не находится на OpenSea.
Ситуация усложняется, когда продавцы переводят активы обратно на свои кошельки OpenSea, возможно, когда стоимость NFT со временем значительно возрастает. Это происходит потому, что первоначальный листинг не был стерт из блокчейна и любой мог купить NFT по первоначальной цене. Так и поступили злоумышленники.
Предположительно, они обнаружили этот недостаток в системе OpenSea и осуществили атаку с помощью бота, который сканировал сеть в поисках NFT с отложенными ордерами с низкой ценой и покупал их.
Компания Elliptic сообщила, что выявила по меньшей мере пять злоумышленников, включая пользователя jpegdegenlove, который заработал на афере не менее 340 Эфиров на сумму более $800 000 по текущим ценам.
OpenSea исправляет ситуацию
После эксплойта OpenSea запустила новый менеджер объявлений на платформе, который позволяет пользователям эффективно просматривать как активные, так и неактивные объявления и одним щелчком мыши отменять неактивные объявления.
Торговая площадка NFT также связалась с пострадавшими пользователями и выплатила им компенсацию. В беседе с Bloomberg одна из жертв атаки, Роберт Гарсия, сказал, что его NFT Mutant Ape был продан за 4,7 эфира (около $11 300) в воскресенье.
Гарсия отметил, что после этого он сразу же написал в OpenSea и в четверг получил от них ответ, в котором ему предложили возмещение в размере 13,8 Эфира, что по текущим ценам составляет более $35 000.
