OpenSea сега врати 750 Ethereum, околу $ 1.8 милиони, на корисници кои случајно продале вредни NFT со многу пониска од нивната пазарна стапка преку експлоат кој вклучува „неактивни огласи".
Неодамна, неколку корисници на водечките NFT› пазарот се пожали дека нивните NFT со сини чипови, како што се оние што припаѓаат на колекцијата Bored Ape Yacht Club (BAYC), биле купени по стари, евтини цени на огласот. Овие списоци никогаш не беа откажани на блокчејнот, иако корисничкиот интерфејс на OpenSea сугерираше дека биле откажани.
Како се случи ова? Технолошките купувачи користеа услуги како Tornado Cash за да внесат пари во адреси на криптопаричници без да го откријат изворот и да ги користат тие средства за да купат NFT по стари цени на огласот.
Оваа експлоатација не е нова. На Ethereum блокчејн бара од корисниците да платат такса за гас за извршување на трансакции, вклучително и откажување на оглас на OpenSea што сè уште не е истечен. Но, пред OpenSea да имплементира избирачки датуми на истекување на огласите, многу сопственици на NFT имаа неактивни огласи кои немаа датум на истекување и на тој начин бараа рачно откажување преку платена такса за гас. Истечените огласи се во ред, но неактивни огласи претставуваат ризик.
Во обид да избегнат плаќање на такси за гас на Ethereum, кои често може да достигнат стотици долари за една трансакција, некои сопственици на NFT најдоа дупка. Ако го пренесат NFT во секундарен паричник, а потоа се вратат во првиот паричник, огласот исчезнал на OpenSea UI.
Но, во реалноста, огласот едноставно премина од „активен“ во „неактивен“. И неактивни огласи сè уште можат да се купат од експерти за блокчејн кои директно комуницираат со самите паметни договори, а не со интерфејсот на OpenSea.
Како одговор, OpenSea воведе функција „неактивни огласи“ на својата десктоп страница јануари 24. Тие не одговорија на Дешифрирајпретходното барање за коментар.
На некои сопственици на BAYC им беше кажано од OpenSea претходно оваа недела дека ќе им биде вратен дел од Ethereum за нивната загуба. Тбалер, кој го загуби мајмунот #9991 за 0.77 ЕТХ (околу 1,700 долари), изјави Дешифрирај на 25 јануари дека чувствувал дека добил „прилично бавен одговор“ од OpenSea, но бил „среќен што се вратиле кај мене“.
„Заедницата [NFT] ми помогна преку ова“, рече Тбалер Дешифрирај. „Ноќта што се случи, бев многу блиску да одам дома и да продадам сè“.
Мајмунот на Тбалер сега изгледа дека му припаѓа Хуан Фдез, кој купил два од мајмуните кои ненамерно биле продадени. Fdez, исто така, го поседува BAYC #8924, кој беше отфрлен за 6.66 ETH (околу 17,000 долари). Фдез не одговори на Дешифрирајбарање за коментар.
Ако Тбалер сака да му се врати мајмунот, ќе мора да плати 130 ЕТХ (330,000 долари).
На 26 јануари, OpenSea испрати е-пошта до сопствениците на NFT со неактивни огласи во која им кажува „да дејствуваат итно за да ги откажете сите неактивни огласи“.
Овие инструкции предизвикаа загриженост, како што тврдеше колекционерот на NFT, Дингалинг во a долга нишка на Твитер дека е-поштата била „неверојатно неодговорна од нивна страна и ги прави работите 100 пати полоши. Ова всушност го прави експлоатот многу полесен за извршување“.
1/ ПРЕДУПРЕДУВАЊЕ: НЕ ОТКАЖУВАЈТЕ СПИСОК НА ВАШИОТ ОС КАКО НАЈДЕНА ВО Е-поштата КОЈА ОПЕНСЕ САМО ЈА ИСПРАТИ??
Ве молиме ПРВО префрлете го вашиот NFT на друга адреса и откажете го огласот/ите на оригиналната адреса ПРЕД да го испратите назад
ОС само ги става сите на уште поголем ризик од порано?
— dingaling (@dingalingts) Јануари 27, 2022
Со едноставно кажување на корисниците да ги откажуваат неактивни огласи еден по еден на веб-страницата OpenSea, тоа всушност им овозможи на експлоататорите да извршуваат купувања на други неактивни огласи. На пример, сопственикот на Mutant Ape Yacht Club Swolfchan го чуваше својот мајмун во главниот паричник и откажа неактивен оглас од 15 ETH. После тоа, тие планираа да откажат оглас со 6 ETH.
Но, помеѓу времето што му требаше на Swolfchan да го откаже првиот неактивен оглас и да премине на вториот, еден експлоататор го купи нивниот Ape за цена од 6 ETH.
Дингалинг објасни дека ако Сволфчан го префрли мајмунот во друг паричник, потоа ги откаже сите огласи, а потоа го премести мајмунот назад во главниот паричник, тие ќе беа безбедни. Но, се чини дека OpenSea не ги дава овие упатства во својата почетна е-пошта.
Ко-основач на OpenSea Алекс Аталах изјави за Dingaling на 27 јануари дека „поправањето на ова прашање е наш приоритет број 1 на компанијата. Имаме тим кој работи на тоа и сега поставува контрамерка“.
Што се однесува до тоа какви би можеле да бидат тие решенија, директорот на директорот на Леџер Чарлс Гилемет има неколку идеи: „Поинаков дизајн би можел да избегне такво прашање“, рече тој Дешифрирај. Гилемет тврди дека интерфејсот на OpenSea требало да биде појасен за корисниците. „Пренесувањето на NFT не треба да го отстрани налогот за продажба од корисничкиот интерфејс“, рече тој.
Извор: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit