Ein Fehler in OpenSea, dem beliebten NFT-Marktplatz, hat es Hackern ermöglicht, seltene NFTs weit unter dem Marktwert zu kaufen, was in einigen Fällen zu Hunderttausenden von Dollar an Verlusten für die ursprünglichen Besitzer führte – und Hunderte von Tausende von Dollar an Gewinn für die offensichtlichen Diebe.
Der Fehler scheint seit Wochen vorhanden zu sein und scheint in mindestens einem Tweet vom 1. Januar 2022 referenziert zu werden. Aber Ausnutzung von Der Fehler hat am vergangenen Tag deutlich zugenommen: Das Blockchain-Analytikunternehmen Elliptic berichtete, dass er innerhalb von 12 Stunden vor dem Morgen des 24. Januar mindestens acht Mal ausgenutzt wurde, um NFTs mit einem Marktwert von über 1 Million US-Dollar zu „stehlen“. .
Einer der NFTs, Bored Ape Yacht Club #9991, wurde mit der Exploit-Technik für 0,77 ETH (1.760 $) gekauft und schnell für 84,2 ETH (192.400 $) weiterverkauft, was dem Angreifer einen Gewinn von mehr als 190.000 $ einbrachte. Eine mit dem Reseller verknüpfte Ethereum-Adresse hatte im selben Zeitraum von 12 Stunden mehr als 400 ETH (904.000 $) an Auszahlungen von OpenSea erhalten.
„Es ist eine subjektive Sache, ob Sie dies für richtig halten ein Schlupfloch oder ein Fehler sein, aber Tatsache ist, dass die Leute zu einem Preis zum Verkauf gezwungen werden, den sie sonst im Moment nicht akzeptiert hätten“, sagte Tom Robinson, leitender Wissenschaftler und Mitbegründer von Elliptic.
< p id="IQKnrY">Laut einem Twitter-Thread des Softwareentwicklers Rotem Yakir wird der Fehler durch eine Diskrepanz zwischen den in NFT Smart Contracts verfügbaren Informationen und den von der Benutzeroberfläche von OpenSea präsentierten Informationen verursacht. Im Wesentlichen nutzen die Angreifer alte Verträge aus, die auf der Blockchain bestehen bleiben, aber in der von der OpenSea-Anwendung bereitgestellten Ansicht nicht mehr vorhanden sind.
OpenSea-Benutzer verkaufen NFTs, indem sie einen „Listenpreis“ festlegen, den potenzielle Käufer sehen können. Aufgrund der Natur von Smart Contracts wird die NFT automatisch auf ihn übertragen, wenn ein Käufer diesen Listenpreis akzeptiert. Wenn ein Eigentümer eine NFT zu einem höheren Verkaufspreis wieder auflisten möchte, ist dies der richtige Weg, die erste Auflistung zu stornieren, was eine „Gasgebühr“ kostet, die in die Zehn- oder sogar Hunderte von Dollar gehen kann, so einige Benutzer hatten dies umgangen, indem sie die NFT auf eine andere Brieftasche und dann zurück auf die ursprüngliche Brieftasche übertragen hatten. Während diese Technik anscheinend die Auflistung aus den Informationen in OpenSeas Front-End-Anzeige entfernte, blieb die ursprüngliche Auflistung in der Blockchain aktiv und konnte angeblich über die OpenSea-API gefunden werden.
Der Fehler war laut CoinDesk bereits am 31. Dezember 2021 entdeckt. Ein Tweet von vor fast zwei Wochen, am 12. Januar 2022, beschreibt den erzwungenen Verkauf von NFTs über die gleiche Methode.
Es ist unklar, ob OpenSea die Situation als offene Sicherheitslücke behandelt oder ein Ergebnis eines Benutzerfehlers. Das Unternehmen hat bis zum Zeitpunkt der Veröffentlichung nicht auf eine Bitte um Stellungnahme geantwortet.