Помилка на NFT-біржі OpenSea завдала збитків на мільйони доларів: покупці робили самі собі шестизначні знижки

• Юрій Станіславський
• 25.01.2022
• Категорії: Новини
• Теги: NFT, OpenSea, Бізнес, Кіберзлочини, Криптовалюти

Технічна помилка в OpenSea, популярному торговому майданчику для NFT, дозволяє хакерам купувати рідкісні екземпляри за цінами значно нижчими від ринкових. У деяких випадках це призводить до втрат для початкових власників на сотні тисяч доларів та величезних прибутків для явних злодіїв.

Судячи з наявної інформації, помилка існує кілька тижнів.

Перша згадка відноситься ще до грудня 2021 року. Але експлуатація помилки значно прискорилася останніми днями. Аналітична компанія Elliptic повідомила, що лише за 12-годинний відрізок до ранку 24 січня її використали щонайменше вісім разів для крадіжки NFT із ринковою вартістю понад 1 млн доларів.

Один з експонатів, Bored Ape Yacht Club #9991, був придбаний за допомогою експлойту за 0,77 ETH (1760 доларів США). Потім він був швидко перепроданий за 84,2 ETH (192 400 доларів США), що принесло зловмиснику прибуток у розмірі понад 190 000 доларів США. Ethereum-адреса, пов’язана з шахраєм, отримала понад 400 ETH (904 000 доларів США) платежів від OpenSea за той же 12-годинний період.

У Твіттері спеціаліст Rotem Yakir пояснює, що помилка викликана невідповідністю між інформацією, що наявна в смартконтрактах NFT, та інформацією, представленою інтерфейсом OpenSea.

Фактично, зловмисники користуються старими контрактами, які зберігаються в блокчейні, але вже не присутні в галереї OpenSea.

Користувачі продають NFT, встановлюючи ціну, що її бачать потенційні покупці. Через природу смартконтрактів, якщо покупець приймає цю ціну, NFT автоматично передається йому. Якщо власник хоче знову виставити NFT на продаж за вищою ціною, правильним способом скасувати перше оголошення.

Але за це стягується плата, яка може становити десятки та навіть сотні доларів. Деякі користувачі обходять цю проблему, переводячи NFT на інший гаманець, а потім повертаючись до початкового. Хоча ця техніка, очевидно, видаляє лістинг із системи OpenSea, дозволяючи заощаджувати на вартості, оригінальний лістинг залишається активним у блокчейні.