ตอนนี้ OpenSea ได้คืนเงินไปแล้ว 750 Ethereum ประมาณ $ 1.8 ล้านให้กับผู้ใช้ที่บังเอิญขาย NFT ที่มีค่าต่ำกว่าอัตราตลาดที่กำลังดำเนินการผ่านช่องโหว่ที่เกี่ยวข้องกับ "รายการที่ไม่ใช้งาน".
เมื่อเร็ว ๆ นี้ผู้ใช้ชั้นนำหลายคน NFT› ตลาดบ่นว่า NFT ชิปสีน้ำเงินของพวกเขา เช่น ของคอลเลกชั่น Bored Ape Yacht Club (BAYC) ถูกซื้อในราคาที่เก่าและถูก รายชื่อเหล่านี้ไม่เคยถูกยกเลิกบนบล็อคเชน แม้ว่าอินเทอร์เฟซผู้ใช้บน OpenSea จะแนะนำว่าพวกเขาเคยไปแล้วก็ตาม
มันเกิดขึ้นได้อย่างไร? ผู้ซื้อที่เชี่ยวชาญด้านเทคโนโลยีได้ใช้บริการเช่น Tornado Cash เพื่อส่งเงินไปยังที่อยู่กระเป๋าสตางค์ของ crypto โดยไม่เปิดเผยแหล่งที่มาและใช้เงินเหล่านั้นเพื่อซื้อ NFT ในราคาเดิม
การหาประโยชน์นี้ไม่ใช่เรื่องใหม่ ดิ Ethereum blockchain กำหนดให้ผู้ใช้ต้องชำระค่าธรรมเนียมก๊าซในการทำธุรกรรม รวมถึงการยกเลิกรายการใน OpenSea ที่ยังไม่หมดอายุ แต่ก่อนที่ OpenSea จะใช้วันหมดอายุที่เลือกได้ในรายการ ผู้ถือ NFT จำนวนมากมีรายชื่อที่ไม่ใช้งานซึ่งไม่มีวันหมดอายุ และด้วยเหตุนี้จึงต้องมีการยกเลิกด้วยตนเองผ่านค่าธรรมเนียมน้ำมันที่ชำระแล้ว รายชื่อที่หมดอายุนั้นใช้ได้ แต่รายชื่อที่ไม่ได้ใช้งานมีความเสี่ยง
ในความพยายามที่จะหลีกเลี่ยงการจ่ายค่าธรรมเนียมก๊าซ Ethereum ซึ่งมักจะสูงถึงหลายร้อยดอลลาร์สำหรับการทำธุรกรรมครั้งเดียว เจ้าของ NFT บางรายพบช่องโหว่ หากพวกเขาโอน NFT ไปยังกระเป๋าเงินสำรอง แล้วกลับไปที่กระเป๋าเงินแรก รายการนั้นจะหายไปใน OpenSea UI
แต่ในความเป็นจริง รายการเพิ่งเปลี่ยนจาก "ใช้งานอยู่" เป็น "ไม่ใช้งาน" และรายชื่อที่ไม่ใช้งานยังสามารถซื้อได้โดยผู้เชี่ยวชาญบล็อคเชนที่โต้ตอบโดยตรงกับสัญญาอัจฉริยะด้วยตนเอง ไม่ใช่ UI ของ OpenSea
ในการตอบสนอง OpenSea ได้เปิดตัวคุณลักษณะ "รายชื่อที่ไม่ใช้งาน" บนไซต์เดสก์ท็อปบน มกราคม. พวกเขาไม่ตอบสนองต่อ ถอดรหัสคำขอก่อนหน้านี้สำหรับความคิดเห็น
OpenSea ผู้ถือ BAYC บางรายได้รับแจ้งเมื่อต้นสัปดาห์นี้ว่าพวกเขาจะได้รับเงินคืนบางส่วนจาก Ethereum สำหรับการสูญเสีย Tballer ที่เสีย Ape #9991 เป็นเงิน 0.77 ETH (ประมาณ 1,700 เหรียญสหรัฐ) บอก ถอดรหัส เมื่อวันที่ 25 มกราคม เขารู้สึกว่าได้รับ "การตอบสนองค่อนข้างช้า" จาก OpenSea แต่ก็ "มีความสุขที่พวกเขากลับมาหาฉัน"
“ชุมชน [NFT] ช่วยฉันผ่านสิ่งนี้” Tballer บอก ถอดรหัส. “คืนที่มันเกิดขึ้น ฉันเกือบจะกลับบ้านและขายทุกอย่าง”
ลิงของ Tballer ตอนนี้ดูเหมือนจะเป็นของ ฮวน ฟเดซที่ซื้อลิงสองตัวที่ถูกขายไปโดยไม่ได้ตั้งใจ Fdez ยังถือ BAYC #8924 ซึ่งกวาดไป 6.66 ETH (ประมาณ 17,000 ดอลลาร์) Fdez ไม่ตอบสนองต่อ ถอดรหัสคำขอความคิดเห็น
หาก Tballer ต้องการ Ape ของเขาคืน เขาจะต้องจ่าย 130 ETH ($ 330,000)
เมื่อวันที่ 26 มกราคม OpenSea ได้ส่งอีเมลไปยังเจ้าของ NFT โดยมีรายชื่อที่ไม่ได้ใช้งานโดยแจ้งว่า "โปรดดำเนินการอย่างเร่งด่วนเพื่อยกเลิกรายชื่อที่ไม่ได้ใช้งาน"
คำแนะนำเหล่านี้ทำให้เกิดข้อกังวล ในขณะที่นักสะสม NFT Dingaling โต้แย้งใน ด้าย Twitter ยาว ว่าอีเมลนั้น “ขาดความรับผิดชอบอย่างเหลือเชื่อจากส่วนของพวกเขา และทำให้สิ่งต่างๆ แย่ลง 100 เท่า สิ่งนี้ทำให้การใช้ประโยชน์ง่ายขึ้นมากในการดำเนินการ”
1/ คำเตือน: อย่ายกเลิกรายการระบบปฏิบัติการของคุณตามที่ระบุไว้ในอีเมลที่ OPENSEA เพิ่งส่งออกไป??
โปรดโอน NFT ของคุณไปยังที่อยู่อื่นก่อน และยกเลิกรายการที่อยู่เดิมก่อนที่จะส่งกลับ
OS ทำให้ทุกคนมีความเสี่ยงมากกว่าเดิม?
— ดิงกาลิง (@dingalingts) January 27, 2022
เพียงแค่บอกผู้ใช้ให้ยกเลิกรายการที่ไม่ใช้งานทีละรายการบนเว็บไซต์ OpenSea ก็อนุญาตให้ผู้โจมตีดำเนินการซื้อในรายการที่ไม่ใช้งานอื่น ๆ ตัวอย่างเช่น เจ้าของ Mutant Ape Yacht Club Swolfchan เก็บ Ape ไว้ในกระเป๋าเงินหลักและยกเลิกรายการ 15 ETH ที่ไม่ได้ใช้งาน หลังจากนั้นพวกเขาวางแผนที่จะยกเลิกการแสดงรายการ 6 ETH
แต่ในระหว่างนั้น Swolfchan ได้ยกเลิกรายการแรกที่ไม่ใช้งานและย้ายไปยังรายการที่สอง ผู้เอาเปรียบได้ซื้อ Ape ของพวกเขาในราคา 6 ETH
Dingaling อธิบายว่าถ้า Swolfchan โอน Ape ไปยังกระเป๋าเงินอื่น จากนั้นยกเลิกรายการทั้งหมด จากนั้นย้าย Ape กลับไปที่กระเป๋าเงินหลัก พวกเขาจะปลอดภัย แต่ดูเหมือนว่า OpenSea จะไม่ให้คำแนะนำเหล่านี้ในอีเมลฉบับแรก
ผู้ร่วมก่อตั้ง OpenSea อเล็กซ์ อตาลาห์ บอกกับ Dingaling เมื่อวันที่ 27 มกราคมว่า “การแก้ไขปัญหานี้เป็นความสำคัญอันดับ 1 ของบริษัทเรา เรามีทีมงานที่กำลังดำเนินการและกำลังเตรียมมาตรการรับมืออยู่ในขณะนี้”
สำหรับวิธีแก้ปัญหาเหล่านี้ CTO ของ Ledger Charles Guillemet มีแนวคิดบางประการ: "การออกแบบที่แตกต่างกันสามารถหลีกเลี่ยงปัญหาดังกล่าวได้" เขากล่าว ถอดรหัส. Guillemet โต้แย้งว่า UI บน OpenSea ควรมีความชัดเจนสำหรับผู้ใช้ “การโอน NFT ไม่ควรลบคำสั่งขายออกจาก UI” เขากล่าว
ที่มา: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit