OpenSea ha ora rimborsato 750 Ethereum, circa $1.8 milioni, agli utenti che hanno accidentalmente venduto NFT di valore ben al di sotto del loro tasso di mercato corrente attraverso un exploit che coinvolge "elenchi inattivi. "
Recentemente, diversi utenti del leader NFT› il mercato si era lamentato del fatto che i loro NFT blue chip, come quelli appartenenti alla collezione Bored Ape Yacht Club (BAYC), erano stati acquistati a prezzi di listino vecchi ed economici. Questi elenchi non sono mai stati cancellati sulla blockchain, anche se l'interfaccia utente su OpenSea suggeriva che lo fossero stati.
Come è successo? Gli acquirenti esperti di tecnologia hanno utilizzato servizi come Tornado Cash per incanalare denaro negli indirizzi dei portafogli crittografici senza rivelare la fonte e utilizzando quei fondi per acquistare NFT ai vecchi prezzi di listino.
Questo exploit non è nuovo. Il Ethereum blockchain richiede agli utenti di pagare una tariffa del gas per eseguire transazioni, inclusa la cancellazione di un elenco su OpenSea che non è ancora scaduto. Ma prima che OpenSea implementasse date di scadenza selezionabili sugli elenchi, molti possessori di NFT avevano elenchi inattivi che non avevano una data di scadenza e quindi richiedevano la cancellazione manuale tramite una tariffa del gas pagata. Le inserzioni scadute vanno bene, ma le inserzioni inattive rappresentano un rischio.
Nel tentativo di evitare di pagare le commissioni del gas di Ethereum, che spesso possono arrivare a centinaia di dollari per una singola transazione, alcuni proprietari di NFT hanno trovato una scappatoia. Se hanno trasferito l'NFT a un portafoglio secondario e poi di nuovo al primo portafoglio, l'elenco è scomparso nell'interfaccia utente di OpenSea.
Ma in realtà, l'elenco era semplicemente passato da "attivo" a "inattivo". E le inserzioni inattive possono ancora essere acquistate da esperti blockchain che interagiscono direttamente con gli stessi contratti intelligenti, non con l'interfaccia utente di OpenSea.
In risposta, OpenSea ha lanciato una funzione di "elenchi inattivi" sul suo sito desktop Gennaio 24. Non hanno risposto decryptprecedente richiesta di commento.
Ad alcuni possessori di BAYC è stato detto da OpenSea all'inizio di questa settimana che sarebbero stati rimborsati di Ethereum per la loro perdita. Tballer, che ha perso Ape #9991 per 0.77 ETH (circa $ 1,700), ha detto decrypt il 25 gennaio sentiva di aver ricevuto una "risposta piuttosto lenta" da OpenSea, ma era "felice che mi avessero risposto".
"La comunità [NFT] mi ha aiutato in questo", ha detto Tballer decrypt. "La notte in cui è successo ero abbastanza vicino a tornare a casa e vendere tutto".
La scimmia di Tballer ora sembra appartenere Juan Fdez, che ha acquistato due delle scimmie che sono state vendute inavvertitamente. Fdez detiene anche BAYC #8924, che era stato scambiato per 6.66 ETH (circa $ 17,000). Fdez non ha risposto decryptrichiesta di commento.
Se Tballer rivuole indietro la sua scimmia, dovrà pagare 130 ETH ($ 330,000).
Il 26 gennaio, OpenSea ha inviato un'e-mail ai proprietari di NFT con annunci inattivi dicendo loro di "agire urgentemente per cancellare qualsiasi annuncio inattivo".
Queste istruzioni hanno suscitato alcune preoccupazioni, come ha affermato il collezionista di NFT Dingaling in a lunga discussione su Twitter che l'e-mail è stata "incredibilmente irresponsabile da parte loro e peggiora le cose 100 volte. Questo in realtà rende l'exploit molto più facile da eseguire".
1/ ATTENZIONE: NON CANCELLARE LE INSERZIONI DEL SISTEMA OPERATIVO COME INDICATO NELL'EMAIL CHE OPENSEA HA APPENA INVIATO??
Per favore prima trasferisci il tuo NFT a un indirizzo diverso e cancella l'elenco/i sull'indirizzo originale PRIMA di rispedirlo
Il sistema operativo ha messo tutti ancora più a rischio di prima?
— dingaling (@dingalingts) Gennaio 27, 2022
Dicendo semplicemente agli utenti di cancellare le inserzioni inattive una per una sul sito Web di OpenSea, in realtà consentiva agli sfruttatori di eseguire acquisti su altre inserzioni inattive. Ad esempio, il titolare del Mutant Ape Yacht Club Swolfchan ha tenuto la sua Ape nel portafoglio principale e ha cancellato un elenco inattivo di 15 ETH. Successivamente, hanno pianificato di cancellare un elenco di 6 ETH.
Ma tra il tempo impiegato da Swolfchan per cancellare la prima quotazione inattiva e passare alla seconda, uno sfruttatore ha acquistato la sua Ape al prezzo di 6 ETH.
Dingaling ha spiegato che se Swolfchan avesse trasferito l'Ape su un altro portafoglio, quindi avesse cancellato tutte le inserzioni e quindi spostato l'Ape di nuovo sul portafoglio principale, sarebbero stati al sicuro. Ma OpenSea non sembrava fornire queste istruzioni nella sua e-mail iniziale.
Cofondatore di OpenSea Alex Atalla ha dichiarato a Dingaling il 27 gennaio che "risolvere questo problema è la nostra priorità numero 1 dell'azienda. Abbiamo una squadra che ci sta lavorando e che sta mettendo su una contromisura ora".
Per quanto riguarda le soluzioni che potrebbero essere, il CTO di Ledger Charles Guillemet ha alcune idee: "Un design diverso avrebbe potuto evitare un problema del genere", ha detto decrypt. Guillemet sostiene che l'interfaccia utente su OpenSea avrebbe dovuto essere più chiara per gli utenti. "Il trasferimento dell'NFT non dovrebbe rimuovere l'ordine di vendita dall'interfaccia utente", ha affermato.
Fonte: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit