เทคโนโลยี

แฮ็กเกอร์ใช้ประโยชน์จาก OpenSea Bug ที่ประเมินค่า NFT ต่ำเกินไปในการซื้อและพลิกลิงที่น่าเบื่อ

01/24/2022
ข่าว Bitcoin Ethereum

ดูเหมือนว่าผู้หลอกลวงจะใช้ประโยชน์จากจุดบกพร่องของ OpenSea เพื่อซื้อ NFT ที่มีค่าในราคาที่ถูกกว่ารายการปัจจุบันมาก

นักวิจัยและนักพัฒนาหลายคนได้ให้รายละเอียดเกี่ยวกับปัญหาที่กำลังดำเนินอยู่ โดยบางคนอ้างว่า NFT บางตัวที่มีมูลค่าหลายแสนดอลลาร์ถูกขโมยโดยใช้ประโยชน์จากจุดบกพร่องของแพลตฟอร์ม

OpenSea Bug เปิดแพลตฟอร์มเพื่อแฮ็ค

ตามรายงาน ข้อผิดพลาดในส่วนหน้าของตลาดโทเค็นที่ไม่สามารถใช้งานไม่ได้ (NFT) ที่โดดเด่น OpenSea ได้ส่งผลให้เกิดการใช้ประโยชน์จากช่องโหว่ที่อนุญาตให้ผู้ใช้ได้รับ NFT ยอดนิยมในราคารายการก่อนหน้า

ปัญหานี้ดูเหมือนจะแพร่หลายใน Bored Ape Yacht Club (BAYC) และ Mutant Ape Yacht Club (MAYC) NFT ของสะสม ซึ่งผู้เอาเปรียบสามารถซื้อได้ในราคาเดิมและขายต่อในราคาตลาดปัจจุบัน BAYC #9991, BAYC #8924 และ MAYC #4986 เป็นหนึ่งใน NFT ที่ได้รับผลกระทบ

การแฮ็กเกิดขึ้นหลังจากนักสะสม NFT “TBALLER” ทวีตว่า Bored Ape #9991 หายากของพวกเขาขายได้ 77 ETH หรือ 1,775 ดอลลาร์ในเช้าวันจันทร์

ผู้ซื้อที่เดินทางโดย "jpegdegenlove" พลิกลิง NFT เกือบจะในทันทีด้วยราคา 84.2 ETH หรือประมาณ 200,000 เหรียญสหรัฐ ผู้ใช้สามารถพลิกได้ประมาณ 332ETH ($754,000)

ยอดเงินคงเหลือในกระเป๋าเงิน Ether ที่ถูกรายงาน ที่มา: Etherscan

PekShieldAlert ซึ่งเป็นบ็อตแจ้งเตือนแบบเรียลไทม์ของบริษัทรักษาความปลอดภัยยอดนิยมของ PeckShield ได้แจ้งเตือนถึงข้อบกพร่องส่วนหน้าของ OpenSea ก่อนหน้านี้ โดยสังเกตว่าผู้ถูกโจมตีได้รับ 332 ETH มูลค่าประมาณ 750 ดอลลาร์ในขณะนั้น

ตามที่ Elliptic บริษัทวิเคราะห์คริปโตเคอเรนซี (Cryptocurrency) ระบุว่า ผู้โจมตี leaOpenSeast สามคนได้ซื้อ NFT โดยมีมูลค่าตลาดรวมมากกว่า 1 ล้านดอลลาร์เล็กน้อยโดยใช้จุดอ่อนตั้งแต่เช้าวันจันทร์ “ด้วยการใช้ประโยชน์จากข้อบกพร่องนี้ ผู้โจมตีรายหนึ่งในปัจจุบันได้จ่ายเงินทั้งหมด 133,000 ดอลลาร์สำหรับ NFT เจ็ดแห่ง ก่อนที่จะขายพวกเขาอย่างรวดเร็วในราคา 934,000 ดอลลาร์” บล็อกของบริษัทอ่าน

ใน หัวข้อ TwitterRotem Yakir นักพัฒนาของ Orbs.com ธุรกิจการเงินแบบกระจายอำนาจ ได้อธิบายถึงช่องโหว่ดังกล่าว ผู้ที่นำ NFT ขึ้นทะเบียนใหม่โดยไม่ยกเลิกแล้วขายในราคาที่สูงขึ้น พวกเขาสามารถซื้อได้ในราคาที่ถูกกว่าผ่านความผิดพลาด ตามที่ Yakir กล่าว

ก่อนหน้านี้ นักวิจัยด้านความปลอดภัย Tal Be'ery ยืนยันการค้นพบของ Elliptic และ Yakir โดย กำลังแสดงข้อมูล จาก Ethereum blockchain ยืนยันว่า Bored Ape Yacht Club #8274 ถูกซื้อในเดือนกรกฎาคมในราคา $50,500 (22.9 ETH) และขายต่อในราคา $296,000 (130 ETH)

บทความที่เกี่ยวข้อง | มีอะไรผิดพลาดในการแฮ็ค Crypto.com (CRO)? ผู้เชี่ยวชาญชั่งน้ำหนักใน

การใช้ประโยชน์นี้ไม่ใช่เรื่องใหม่

การใช้ประโยชน์ก่อนหน้านี้ในวันที่ 31 ธันวาคมพบเห็นเหตุการณ์ที่คล้ายกัน ซึ่งปัญหาดูเหมือนจะมาจากการโอนสินทรัพย์จากกระเป๋าเงิน OpenSea ไปยังกระเป๋าเงินอื่นโดยที่รายการไม่ถูกยกเลิก

ตามผู้ใช้รายหนึ่ง หากผู้ใช้ OpenSea ขาย NFT และต่อมาตัดสินใจว่าพวกเขาไม่ต้องการให้โฆษณานั้นยังคงทำงานอยู่ แพลตฟอร์มจะเรียกเก็บเงินสำหรับการนำออก อย่างไรก็ตาม สิ่งนี้อาจมีราคาสูง ดังนั้นผู้ใช้จึงคิดหาวิธีแก้ไขชั่วคราวในการโอน NFT ไปยังกระเป๋าเงินอื่น ดังนั้นจึงยกเลิกการลงรายการ

OpenSea ไม่ได้แก้ไขปัญหาเมื่อมีการรายงาน

บทความที่เกี่ยวข้อง | BitMart ปล่อยให้ผู้ใช้ถูกอ่านเป็นเหยื่อของการแฮ็กรอการคืนเงิน

ผู้ใช้สามารถดูว่ารายชื่อของพวกเขาถูกลบออกจาก Rarible ซึ่งเป็นตลาด NFT อื่นที่ใช้ API ของ OpenSea หรือไม่ ตามที่ผู้ใช้รายงานข้อบกพร่องเกิดขึ้นหลังจากเหตุการณ์เดือนธันวาคม แต่ไม่มีการดำเนินการใด ๆ เพื่อแก้ไข

Opensea BUG ETH

ETH/USD อยู่เหนือ $2,400 ที่มา: TradingView

เป็นที่น่าสังเกตว่าปัญหานี้เกิดขึ้นจากการออกแบบ OpenSea ซึ่งเป็นบริการแบบรวมศูนย์ที่ใช้เหรียญกระจายอำนาจ เป็นการยากที่จะจำแนกสิ่งนี้ว่าเป็นการแฮ็กหรือแม้แต่บั๊ก OpenSea แจ้งผู้บริโภคว่านี่คือวิธีการทำงานของบริการ ซึ่งส่งผลให้เกิดการหลอกลวงมากมาย บั๊กของ OpenSea แสดงให้เห็นว่าเป็นตลาดที่เลอะเทอะ และหากผู้ใช้ไม่ระมัดระวังในการปฏิบัติตามแนวทางปฏิบัติที่เหมาะสม ผู้ใช้เหล่านี้อาจถูกเอาเปรียบโดยผู้ใช้ที่มีความชำนาญมากขึ้น

ไม่ว่าบั๊กของ OpenSea จะถือว่าเป็นข้อบกพร่องด้านความปลอดภัยแบบเปิดหรือผลลัพธ์จากข้อผิดพลาดของผู้ใช้นั้นยังไม่ชัดเจน

ภาพเด่นจาก Unsplash แผนภูมิจาก TradingView.com และ Etherscan

ที่มา: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/