СМИ сообщили, что неизвестный злоумышленник воспользовался уязвимостью в бэкэнде крупнейшего NFT маркетплейса OpenSea, чтобы покупать продукты по старым, более низким ценам, а затем перепродавать их дороже, пишет Хакер.
По данным блокчейн-аналитиков из компании PeckShield, в настоящее время хакер «заработал» таким способом не менее 332 Ethereum (около 745 000 долларов США).
В то же время, по данным аналитиков из компании Elliptic, злоумышленник перепродал таким образом уже семь NFT, и те принесли ему около 934 000 долларов прибыли.
Проблема, связанная с ценами на NFT, исходно была замечена разработчиком DeFi Orbs Ротемом Якиром (Rotem Yakir). Он обнаружил, что пользователи могут выставлять NFT на продажу на OpenSea, а затем отменять объявление, обновлять его и выставлять лот с новой ценой. Проблема в том, что к старому объявлению с изначальное ценой все равно можно было получить доступ через API OpenSea, даже если оно было удалено с самого портала.
У себя в Twitter Якир возложил вину за возникновение бага на разработчиков OpenSea, которые позволяли управлять некоторыми объявлениями, используя настройки on-chain и off-chain, из-за чего некоторые лоты обрабатывались некорректно.
Вскоре выводы Якира были подтверждены техническим директором криптовалютного кошелька ZenGo, Талом Беери (Tal Be'ery). По словам Беери, неизвестному злоумышленнику удалось «заработать» сразу 100 Ethereum (примерно 225 000 долларов) всего на одном NFT.
Один из пострадавших от этой атаки — коллекционер NFT, известный под ником TBALLER. Он пишет в Twitter, что его NFT Bored Ape #9991 была продана по заниженной цене 0,77 ETH (около 1775 долларов США). Почти сразу покупатель под ником jpegdegenlove перепродал NFT за 84,2 ETH, то есть почти за 200 000 долларов США.
«Йооооо, народ! Не знаю, что только что произошло, но мою обезьяну почему-то только что продали за 0,77?????, — писал недоумевающий TBALLER. — Я только что потерял обезьяну, ребята… Я плачу… Как это могло случиться????».
Представители OpenSea пока никак не прокомментировали ситуацию, и неясно, была ли решена обнаруженная проблема.
Пока Якир рекомендует всем пользователям OpenSea, обновившим цены в своих объявлениях, переместить NFT в новый кошелек, что предотвратит продажу предмета хакеру по заниженной цене.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.