Jonathan Greig är en journalist baserad i New York City.
Fullständig bio den 25 januari 2022 | Ämne: Säkerhet
OpenSea kontaktar och ersätter användare som drabbats av ett kryphål som gör att människor kan köpa NFT för en bråkdel av sin verkliga kostnad och sälja den för tusentals.
På måndagen talade blockchain-säkerhetsföretaget Elliptic och flera Twitter-användare ut om buggen. Moderkortet var först med att rapportera om händelsen.
Elliptic sa att det “identifierade minst tre angripare som har köpt minst åtta NFT:er för mycket mindre än deras marknadsvärde under de senaste 12 timmarna.” Problemet påverkar Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats och Cyberkongz NFTs.
En användare skrev på Twitter att hans NFT köptes för cirka 1 800 USD av kryptovalutan Ethereum innan den såldes vidare för 196 000 USD .
Yooo killar! Jag vet vad som just hände av varför sålde min apa för .77?????
— TBALLER.eth (@T_BALLER6) 24 januari 2022
“En angripare, som gick under pseudonymen 'jpegdegenlove', betalade idag totalt 133 000 $ för sju NFT – innan han snabbt sålde vidare för 934 000 $ i eter. Fem timmar senare skickades den här etern genom Tornado Cash, en 'blandningstjänst' som är används för att förhindra blockchain-spårning av medel. Jpegdegenlove verkar också delvis ha kompenserat två av deras offer — skickar 20 ETH ($45 000) till TBALLER och 13 ETH ($30 000) till Vault327. En annan angripare köpte en enda Mutant Ape Yacht Club N600 $. , innan den såldes vidare fem timmar senare för 34 800 USD,” förklarade Elliptic.
“Utnyttjandet verkar härröra från möjligheten att återlista en NFT till ett nytt pris utan att avbryta den tidigare noteringen. Dessa tidigare listor används nu för att köpa NFTs till priser som specificerats någon gång i det förflutna – vilket ofta är långt under nuvarande marknadspriser.”
DeFi-utvecklaren Rotem Yakir släppte en detaljerad tråd på Twitter som förklarade OpenSea-felet och skrev att det “härstammar från det faktum att du tidigare kunde återlista en NFT utan att avbryta den ( vilket du inte kan nu) och alla tidigare listor avbryts inte i kedjan.”
“Tidigare kunde du ha omlistat en NFT utan att avbryta den tidigare listan. Ibland men inte alltid, Om du avbryter din nya listning, kommer den gamla inte att visas i användargränssnittet men är fortfarande giltig,” sa Yakir.
“Genom att använda tjänster som https://orders.rarible.com eller till och med OS API kan någon få den gamla noteringen och fortfarande använda den. För att vara säker på att du är säker kan du kolla på https://orders.rarible.com och se om din tidigare notering fortfarande finns där. Men om du vill vara 100 % säker överför du bara din NFT till en annan plånbok.”
En talesperson för OpenSea sa till ZDNet att man har försökt skapa lösningar på problemet sedan det identifierades. De förnekade också att det var en bugg eller sårbarhet.
“Sedan det här problemet identifierades har vi tagit det på otroligt stort allvar och arbetat för att skicka produktlösningar för communityn. Det här är inte en exploatering eller en bugg — det är ett problem som uppstår på grund av blockkedjans natur. OpenSea kan inte avbryta listor på uppdrag av användare. Istället måste användarna avbryta sina egna listor”, sa talespersonen.
“Det är OpenSeas prioritet att göra användare medvetna om alla sina listor, och vi arbetar på ett antal produktförbättringar för att åtgärda detta, inklusive en instrumentpanel där de enkelt kan se och avbryta listor. Dessutom har vi aktivt kontaktat oss för och ersätter drabbade användare. Vi har inte kommunicerat brett om den här frågan eftersom vi inte ville riskera att uppmärksamma dåliga aktörer på det som kunde missbruka det i stor skala innan vi hade begränsningar på plats.”
ZDNet kunde inte bekräfta om användarna har fått ersättning. OpenSeas talesperson sa att det är en fråga om “förvirrande användargränssnitt” som uppstår när användare skapar listor och sedan överför den listade NFT till en annan plånbok.
När en användare överför föremål från sin tredje parts plånbok, avbryts inte listningen som de skapade för föremålet automatiskt och kan inte avbrytas av OpenSea direkt eftersom det kräver att användaren signerar för annulleringen i sin plånbok, förklarade talesmannen. OpenSea är inte den enda plattformen som påverkas av problemet, förklarade NFT-plattformen.
Enligt OpenSea kan problemet uppstå när en användare flyttar en NFT till en annan plånbok utan att avbryta aktiva listor eftersom transaktionen har lagts upp i blockkedjan.
Företaget tillade att det håller på att ändras dess förinställda noteringslängd från 6 månader till 1 månad så att om en NFT överförs tillbaka till en plånbok efter 1 månad kommer listningen att ha löpt ut.
De planerar också att meddela användarna att de har en lista med högre priser som fortfarande är aktiv när de sänker priset för samma vara. OpenSea sa att det lägger till en instrumentpanel i användarprofiler som visar alla inaktiva listor och ger användarna möjlighet att avbryta varje notering med ett enda klick.
Inom de kommande två dagarna planerar företaget att integrera en annan funktion som kommer att visa aviseringar i produkten om aktiva listor och fråga om användare vill avbryta det när de överför en NFT som har en aktiv listning kopplad till sig från sin plånbok. Användare kommer också att få ett e-postmeddelande från OpenSea när de överför en NFT till en plånbok med en aktiv notering för den NFT.
Säkerhet
Cybersäkerhet: 11 steg att ta som hotnivåer öka Hon litade inte på sina flyttar. En enda Apple AirTag bevisade att hon hade rätt Hur tekniken är ett vapen i modern misshandel i hemmet Log4J: Microsoft upptäcker angripare som riktar sig mot SolarWinds sårbarhet Den bästa antivirusprogramvaran och apparna: Håll din dator, telefon och surfplatta säker Blockchain | Säkerhets-TV | Datahantering | CXO | Datacenter