Gli hacker hanno sfruttato un bug esistente nella piattaforma OpenSea per acquistare più NFT per un valore di oltre un milione di dollari con sconti drastici a sei cifre.
L'ellittica riporta la perdita di NFT su OpenSea
Gli NFT su più portafogli sono stati presi di mira nell'hacking, in cui gli aggressori sono stati in grado di acquistarli a prezzi precedentemente elencati senza avvisare i proprietari. OpenSea deve ancora fare un commento o un annuncio sull'attacco, che è stato notato e segnalato per la prima volta dalla società di analisi blockchain Elliptic.
Secondo il capo scienziato e co-fondatore di Elliptic, Tom Robinson
“L'exploit sembra derivare dal fatto che in precedenza era possibile rimettere in vendita una NFT a un nuovo prezzo, senza cancellare la precedente quotazione. Quei vecchi elenchi vengono ora utilizzati per acquistare NFT a prezzi specificati in passato, spesso ben al di sotto dei prezzi di mercato attuali".
Bug sfruttato per strappare NFT
Uno degli NFT rubati sfruttando questo bug era Bored Ape #9991 dalla popolare collezione Bored Ape Yacht Club. L'NFT è stato acquistato per 0.77 ETH (circa $ 1747), un prezzo drasticamente basso per un Bored Ape NFT, che di solito viene venduto per centinaia di migliaia di dollari. Tuttavia, il proprietario al momento della vendita non era a conoscenza del fatto che NFT fosse stata quotata per un importo così basso. Subito dopo, la stessa NFT è stata venduta per 84.2 ETH (circa $ 189,040), rappresentando un profitto significativo di oltre $ 187,000.
Il CEO Robinson ha indicato un totale di otto NFT che sono stati rubati in questo modo. I portafogli originari erano tutti diversi, mentre i portafogli attaccanti totali erano solo tre. Un altro wallet attaccante è stato in grado di acquisire sette NFT per $ 133,000, mentre un terzo ha acquisito un altro Bored Ape NFT per un misero 23 ETH.
Come viene creato questo bug?
In un thread su Twitter, lo sviluppatore di software Rotem Yakir ha riassunto come il bug sia stato creato da una mancata corrispondenza tra le informazioni disponibili nei contratti intelligenti NFT e le informazioni presentate dall'interfaccia utente di OpenSea. In definitiva, il bug consente agli aggressori di accedere ai vecchi prezzi dei contratti che esistono ancora sulla blockchain ma sono bloccati dalla visualizzazione sull'applicazione OpenSea. I potenziali acquirenti su OpenSea fanno un'offerta sul "prezzo di listino" visibile come stabilito dal proprietario dell'NFT. Una volta che un acquirente accetta il prezzo di listino, la proprietà della NFT viene automaticamente trasferita a lui.
Il bug viene creato quando i proprietari vogliono rimettere in vendita i loro NFT a un prezzo più alto ma non vogliono pagare le tasse del gas per cancellare il primo elenco. Quindi, invece, trasferiscono l'NFT a un altro portafoglio e poi tornano al portafoglio originale. In questo modo si rimuove l'elenco dal front-end di OpenSea. Tuttavia, l'elenco originale rimane attivo sulla blockchain e può essere trovato tramite l'API OpenSea.
È interessante notare che questo bug era stato scoperto già a dicembre 2021. Inoltre, anche a gennaio 2022, un thread di Twitter ha fatto luce sulla vendita forzata di NFT con questo metodo. Tuttavia, all'epoca non è stata intrapresa alcuna azione preventiva da parte di OpenSea.
Dichiarazione di non responsabilità: questo articolo viene fornito solo a scopo informativo. Non è offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Fonte: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea