Skrevet af Jonathan Greig, personaleforfatter Jonathan Greig Staff Writer
Jonathan Greig er en journalist baseret i New York City.
Fuld bio den 25. januar 2022 | Emne: Sikkerhed
OpenSea kontakter og refunderer brugere, der er ramt af et smuthul, der gør det muligt for folk at købe NFT'er til en brøkdel af deres reelle pris og videresælge dem for tusindvis.
Mandag talte blockchain-sikkerhedsfirmaet Elliptic og flere Twitter-brugere ud om fejlen. Bundkort var det første til at rapportere om hændelsen.
Elliptic sagde, at det “identificerede mindst tre angribere, der har købt mindst otte NFT'er for meget mindre end deres markedsværdi inden for de seneste 12 timer.” Problemet påvirker Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats og Cyberkongz NFTs.
En bruger skrev på Twitter, at hans NFT blev købt for omkring $1.800 værd af Ethereum-kryptovalutaen, før den blev videresolgt for $196.000 .
“En angriber, der går under pseudonymet 'jpegdegenlove', betalte i dag i alt 133.000 $ for syv NFT'er – før han hurtigt solgte dem videre for 934.000 $ i ether. Fem timer senere blev denne ether sendt gennem Tornado Cash, en 'mixing'-tjeneste, der er bruges til at forhindre blockchain-sporing af midler. Jpegdegenlove ser også ud til delvist at have kompenseret to af deres ofre – ved at sende 20 ETH ($45.000) til TBALLER og 13 ETH ($30.000) til Vault327. En anden angriber købte en enkelt Mutant Ape Yacht Club,600 $10 N6FT , før du sælger den videre fem timer senere for $34.800,” forklarede Elliptic.
“Udnyttelsen ser ud til at stamme fra evnen til at genliste en NFT til en ny pris uden at annullere den tidligere fortegnelse. Disse tidligere fortegnelser bliver nu brugt til at købe NFT'er til priser, der er specificeret på et tidspunkt i fortiden – hvilket ofte er et godt stykke under de nuværende markedspriser.”
DeFi-udvikler Rotem Yakir udgav en detaljeret tråd på Twitter, der forklarede OpenSea-fejlen, og skrev, at den “stammer fra det faktum, at du tidligere kunne genliste en NFT uden at annullere den ( hvilket du ikke kan nu), og alle de tidligere fortegnelser er ikke annulleret på kæden.”
“Tidligere kunne du have genopført en NFT uden at annullere den tidligere liste. Nogle gange, men ikke altid, hvis du annullerer din nye fortegnelse, vil den gamle ikke vises på brugergrænsefladen, men er stadig gyldig,” sagde Yakir.
“Ved at bruge tjenester som https://orders.rarible.com eller endda OS API kan nogen få den gamle fortegnelse og stadig bruge den. For at være sikker på, at du er sikker, kan du tjekke på https://orders.rarible.com og se, om din tidligere fortegnelse stadig er der. Men hvis du vil være 100 % sikker, skal du bare overføre din NFT til en anden tegnebog.”
En talsmand for OpenSea fortalte ZDNet, at det har forsøgt at skabe løsninger på problemet, siden det blev identificeret. De afviste også, at det var en fejl eller sårbarhed.
“Siden dette problem blev identificeret, har vi taget det utroligt alvorligt og arbejdet på at sende produktløsninger til fællesskabet. Dette er ikke en udnyttelse eller en fejl — det er et problem, der opstår på grund af blockchainens natur. OpenSea kan ikke annullere fortegnelser på vegne af brugere. I stedet skal brugerne annullere deres egne fortegnelser,” sagde talsmanden.
“Det er OpenSeas prioritet at gøre brugerne opmærksomme på alle deres opslag, og vi arbejder på en række produktforbedringer for at imødegå dette, herunder et dashboard, hvor de nemt kan se og annullere opslag. Derudover har vi aktivt kontaktet og refusion af berørte brugere. Vi har ikke kommunikeret bredt om dette problem, fordi vi ikke ønskede at risikere at gøre dårlige aktører opmærksomme på det, som kunne misbruge det i stor skala, før vi havde afhjælpning på plads.”
ZDNet kunne ikke bekræfte, om brugerne er blevet refunderet. OpenSea-talsmanden sagde, at det er et problem med “forvirrende brugergrænseflade”, der opstår, når brugere opretter lister og derefter overfører den angivne NFT til en anden tegnebog.
Når en bruger overfører varer fra deres tredjeparts tegnebog, annulleres den fortegnelse, de oprettede for varen, ikke automatisk og kan ikke annulleres af OpenSea direkte, fordi det kræver, at brugeren underskriver for annulleringen i deres tegnebog, forklarede talsmanden. OpenSea er ikke den eneste platform, der er berørt af problemet, forklarede NFT-platformen.
Ifølge OpenSea kan problemet opstå, når som helst en bruger flytter en NFT til en anden tegnebog uden at annullere aktive fortegnelser, fordi transaktionen er sendt til blockchain.
Virksomheden tilføjede, at den er i gang med at ændre dens standardoplysningsvarighed fra 6 måneder til 1 måned, så hvis en NFT overføres tilbage til en tegnebog efter 1 måned, vil fortegnelsen være udløbet.
De planlægger også at underrette brugerne om, at de stadig har en højere prisliste aktiv, når de sænker prisen for den samme vare. OpenSea sagde, at det tilføjer et dashboard til brugerprofiler, der viser alle inaktive fortegnelser og giver brugerne mulighed for at annullere hver fortegnelse med et enkelt klik.
I de næste to dage planlægger virksomheden at integrere en anden funktion, der vil vise meddelelser i produktet om aktive fortegnelser og spørge, om brugerne vil annullere det, når de overfører en NFT, der har en aktiv fortegnelse tilknyttet, ud af deres pung. Brugere vil også modtage en e-mail fra OpenSea, når de overfører en NFT til en tegnebog med en aktiv notering for den NFT.
Sikkerhed
Cybersikkerhed: 11 trin at tage som trusselsniveauer stigning Hun stolede ikke på sine flyttemænd. Et enkelt Apple AirTag beviste, at hun havde ret Hvordan teknologi er et våben i moderne misbrug i hjemmet Log4J: Microsoft opdager angribere rettet mod SolarWinds sårbarhed Den bedste antivirussoftware og apps: Hold din pc, telefon og tablet sikker Blockchain | Sikkerheds-tv | Datastyring | CXO | Datacentre