OpenSea 漏洞导致大量 NFT 损失

黑客利用 OpenSea 平台中的一个现有漏洞以六位数的折扣购买了多个价值超过一百万美元的 NFT。

Elliptic 报告 OpenSea 上的 NFT 损失

跨多个钱包的 NFT 成为黑客攻击的目标，攻击者能够以之前列出的价格购买它们，而无需向所有者透露信息。 OpenSea 尚未就此次攻击发表评论或公告，该攻击首先由区块链分析公司 Elliptic 注意到并报告。

Elliptic 的首席科学家兼联合创始人汤姆·罗宾逊 (Tom Robinson) 表示

“该漏洞似乎来自这样一个事实，即以前可以以新价格重新列出 NFT，而无需取消之前的列表。这些旧列表现在被用来以过去指定的价格购买 NFT——通常很好低于当前市场价格。”

利用漏洞来抢夺 NFT

利用此漏洞窃取的 NFT 之一是来自流行的 Bored Ape Yacht Club 系列的 Bored Ape #9991。 NFT 以 0.77 ETH（约合 1747 美元）的价格购买，这对于 Bored Ape NFT 来说是一个极低的价格，通常售价数十万美元。 但是，出售时的所有者并不知道 NFT 以如此低的价格上市。 此后不久，同样的 NFT 以 84.2 ETH（约合 189,040 美元）的价格售出，带来了超过 187,000 美元的可观利润。

CEO Robinson 指出，共有 8 个 NFT 以这种方式被盗。 原始钱包各不相同，而攻击者钱包总数只有三个。 另一个攻击者钱包以 133,000 美元的价格获得了 7 个 NFT，而第三个钱包以区区 23 ETH 的价格获得了另一个 Bored Ape NFT。

这个错误是如何产生的？

在 Twitter 帖子中，软件开发人员 Rotem Yakir 总结了该漏洞是如何由 NFT 智能合约中可用的信息与 OpenSea 用户界面提供的信息不匹配而产生的。 最终，该漏洞让攻击者能够访问仍存在于区块链上但在 OpenSea 应用程序上无法查看的旧合约价格。 OpenSea 上的潜在买家对 NFT 所有者设定的可见“标价”进行投标。 一旦买家接受标价，NFT 的所有权就会自动转移给他们。

当所有者想要以更高的价格重新列出他们的 NFT 但不想支付汽油费以取消第一次上市时，就会产生该错误。 因此，他们将 NFT 转移到另一个钱包，然后再转移回原来的钱包。 这样做会从 OpenSea 的前端删除列表。 但是，原始列表在区块链上仍然有效，可以通过 OpenSea API 找到。

有趣的是，这个漏洞早在 2021 年 12 月就被发现了。此外，即使在 2022 年 1 月，一个 Twitter 帖子也揭示了使用这种方法强制出售 NFT 的情况。 然而，当时 OpenSea 并未采取任何预防措施。

免责声明：本文仅供参考。 它不是提供或打算用作法律、税务、投资、财务或其他建议。

—-

原文链接：https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea

原文作者：Amara Khatri

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。