เทคโนโลยี

OpenSea Bug นำไปสู่การสูญเสีย NFT จำนวนมาก

01/25/2022
ข่าว Bitcoin Ethereum

แฮ็กเกอร์ใช้ประโยชน์จากจุดบกพร่องที่มีอยู่ในแพลตฟอร์ม OpenSea เพื่อซื้อ NFT หลายรายการมูลค่ากว่าหนึ่งล้านดอลลาร์ด้วยส่วนลดหกหลัก 

Elliptic รายงานการสูญเสีย NFT บน OpenSea

NFTs ในกระเป๋าสตางค์หลายใบตกเป็นเป้าหมายในการแฮ็ก โดยที่ผู้โจมตีสามารถซื้อได้ในราคาที่ระบุไว้ก่อนหน้านี้โดยไม่ต้องให้ทิปจากเจ้าของ OpenSea ยังไม่ได้แสดงความคิดเห็นหรือประกาศเกี่ยวกับการโจมตีดังกล่าว ซึ่งได้รับการสังเกตและรายงานครั้งแรกโดยบริษัทวิเคราะห์บล็อคเชน Elliptic 

ภาพ

Tom Robinson หัวหน้านักวิทยาศาสตร์และผู้ร่วมก่อตั้ง Elliptic กล่าว

“การใช้ประโยชน์ดูเหมือนจะมาจากข้อเท็จจริงที่ว่าก่อนหน้านี้เป็นไปได้ที่จะแสดงรายการ NFT ใหม่ในราคาใหม่ โดยไม่ต้องยกเลิกการจดทะเบียนก่อนหน้านี้ ขณะนี้รายการเก่าเหล่านั้นถูกใช้เพื่อซื้อ NFT ในราคาที่กำหนดในอดีต ซึ่งมักจะต่ำกว่าราคาตลาดในปัจจุบัน”

ข้อบกพร่องที่ใช้ประโยชน์จากการฉก NFTs

หนึ่งใน NFT ที่ถูกขโมยโดยใช้ประโยชน์จากจุดบกพร่องนี้คือ Bored Ape #9991 จากคอลเลกชัน Bored Ape Yacht Club ยอดนิยม NFT ถูกซื้อในราคา 0.77 ETH (ประมาณ 1747 ดอลลาร์) ซึ่งเป็นราคาที่ต่ำมากสำหรับ Bored Ape NFT ซึ่งปกติจะขายได้หลายแสนดอลลาร์ อย่างไรก็ตาม เจ้าของในขณะที่ขายไม่ทราบว่า NFT ถูกระบุไว้สำหรับจำนวนเงินที่ต่ำดังกล่าว หลังจากนั้นไม่นาน NFT เดียวกันถูกขายในราคา 84.2 ETH (ประมาณ 189,040 ดอลลาร์) ซึ่งคิดเป็นกำไรที่สำคัญกว่า 187,000 ดอลลาร์ 

CEO Robinson ได้ชี้ให้เห็น NFT ทั้งหมดแปดรายการที่ถูกขโมยในลักษณะนี้ กระเป๋าเงินต้นทางนั้นแตกต่างกันทั้งหมด ในขณะที่กระเป๋าเงินผู้โจมตีทั้งหมดมีเพียงสามกระเป๋า กระเป๋าเงินของผู้โจมตีอีกคนหนึ่งสามารถซื้อ NFT เจ็ดตัวได้ในราคา 133,000 ดอลลาร์ ในขณะที่กระเป๋าใบที่สามได้ NFT ของ Bored Ape อีกตัวเป็นเงิน 23 ETH ที่เลวทรามต่ำช้า 

ข้อผิดพลาดนี้สร้างขึ้นได้อย่างไร? 

ในเธรด Twitter ผู้พัฒนาซอฟต์แวร์ Rotem Yakir ได้สรุปว่าจุดบกพร่องถูกสร้างขึ้นจากความไม่ตรงกันระหว่างข้อมูลที่มีอยู่ในสัญญาอัจฉริยะ NFT และข้อมูลที่นำเสนอโดยอินเทอร์เฟซผู้ใช้ของ OpenSea ในท้ายที่สุด บั๊กดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึงราคาสัญญาเก่าที่ยังคงมีอยู่ในบล็อคเชน แต่ถูกบล็อกไม่ให้มองเห็นบนแอปพลิเคชัน OpenSea ผู้ซื้อที่มีศักยภาพใน OpenSea จะเสนอราคาสำหรับ "ราคาปลีก" ที่มองเห็นได้ซึ่งกำหนดโดยเจ้าของ NFT เมื่อผู้ซื้อยอมรับราคาปลีก ความเป็นเจ้าของ NFT จะถูกโอนไปโดยอัตโนมัติ 

ข้อบกพร่องนี้สร้างขึ้นเมื่อเจ้าของต้องการลงรายการ NFT ใหม่ในราคาที่สูงกว่า แต่ไม่ต้องการจ่ายค่าธรรมเนียมน้ำมันเพื่อยกเลิกการลงรายการครั้งแรก ดังนั้นพวกเขาจึงโอน NFT ไปยังกระเป๋าเงินอื่นแล้วกลับไปที่กระเป๋าเงินเดิม การทำเช่นนี้จะเป็นการนำรายชื่อออกจากส่วนหน้าของ OpenSea อย่างไรก็ตาม รายชื่อเดิมยังคงใช้งานอยู่บน blockchain และสามารถพบได้ผ่าน OpenSea API 

เป็นที่น่าสนใจที่จะทราบว่าจุดบกพร่องนี้ถูกค้นพบในเดือนธันวาคม 2021 นอกจากนี้ แม้กระทั่งในเดือนมกราคม 2022 เธรด Twitter ได้ให้ความกระจ่างเกี่ยวกับการบังคับขาย NFT ด้วยวิธีการนี้ อย่างไรก็ตาม ยังไม่มีการดำเนินการป้องกันโดย OpenSea ในขณะนั้น

ข้อจำกัดความรับผิดชอบ: บทความนี้จัดทำขึ้นเพื่อจุดประสงค์ในการให้ข้อมูลเท่านั้น ไม่ได้นำเสนอหรือมีวัตถุประสงค์เพื่อใช้เป็นคำแนะนำทางกฎหมายภาษีการลงทุนการเงินหรืออื่น ๆ

ที่มา: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea