Хакеры наваривают 6-значные суммы на баге в популярной NFT-платформе
Из-за бага в NFT-платформе OpenSea мошенники смогли скупать токены во много раз ниже рыночной цены, а их прибыль — и потери изначальных владельцев — составили сотни тысяч долларов, сообщает The Verge.
Баг существует почти месяц и время от времени всплывает в Twitter с начала января. Однако активно эксплуатировать его стали совсем недавно: аналитики Elliptic говорят, что всего за 12 часов к утру понедельника это произошло минимум 8 раз, а токенов украли на $1+ млн.
К примеру, один из токенов — мартышку #9991 из коллекции Bored Ape Yacht Club — с помощью эксплойта купили за 0,77 эфира ($1 760) и быстро перепродали за 84,2 эфира ($192 400), наварив более $190 тысяч. На адрес Ethereum-кошелька, принадлежащего ушлому коллекционеру крипто-арта, за эти 12 же часов от OpenSea поступило более 400 эфиров ($904 000).
Эксперты Elliptic не уверены, считать это багом или специфичной лазейкой, но факт остаётся фактом: у людей помимо их воли уводят токены совсем не по той цене, по которой они хотели бы с ними расстаться.
Происходит это из-за несоответствия между информацией в смарт-контрактах NFT и той, что отображается на OpenSea. Хакеры эксплуатируют устаревшие смарт-контракты, которые остались в блокчейне, но на платформе уже не доступны.
При продаже пользователи OpenSea выставляют цену за токен, которая видна потенциальным покупателям. Когда покупатель принимает её, NFT автоматически переводится ему. Если обладатель NFT хочет поднять цену, то должен сначала отменить предлагаемую сделку, заплатив комиссию (она может достигать десятки или даже сотни долларов). Чтобы избежать её, некоторые пользователи перебрасывают NFT на другой кошелёк, а потом возвращают на первый. В итоге изначальное предложение исчезает с OpenSea, но остаётся действительным на блокчейне. Судя по всему, хакеры придумали, как находить такие смарт-контракты через платформу.
Считают ли всё это уязвимостью или ошибкой самих юзеров в OpenSea, неизвестно. На запрос The Verge о комментарии там не ответили.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.