Betrüger nutzen offenbar einen OpenSea-Fehler aus, um wertvolle NFTs zu einem deutlich günstigeren Preis als ihrem aktuellen Angebot zu erwerben.
Mehrere Forscher und Entwickler haben das anhaltende Problem detailliert beschrieben. Einige behaupten, dass bestimmte NFTs im Wert von Hunderttausenden Dollar durch Ausnutzung des Fehlers der Plattform gestohlen wurden.
OpenSea Bug öffnet Plattform für Hacker
Berichten zufolge hat ein Fehler im Frontend des bekannten Marktplatzes für nicht fungible Token (NFT) OpenSea zu einem Exploit geführt, der es Benutzern ermöglicht, beliebte NFTs zu ihrem vorherigen Listenpreis zu erwerben.
Das Problem scheint bei NFT-Sammlerstücken von Bored Ape Yacht Club (BAYC) und Mutant Ape Yacht Club (MAYC) weit verbreitet zu sein, bei denen der Verwerter sie zum ursprünglichen Listenpreis kaufen und anschließend zum aktuellen Marktpreis verkaufen konnte. BAYC #9991, BAYC #8924 und MAYC #4986 gehören zu den betroffenen NFTs.
Der Hack wurde ans Licht gebracht, nachdem der NFT-Sammler „TBALLER“ getwittert hatte, dass sein seltener Bored Ape #9991 am frühen Montagmorgen für einen Hungerlohn von 77 ETH oder 1,775 US-Dollar verkauft wurde.
Jooo Leute! Idk, was ist gerade passiert, warum hat mein Affe gerade für 77 verkauft?????
— TBALLER.eth (@T_BALLER6) 24. Januar 2022
Der Käufer, der sich „jpegdegenlove“ nennt, verkaufte den Ape-NFT fast sofort für 84.2 ETH, also etwa 200,000 US-Dollar. Der Benutzer konnte etwa 332 ETH (754,000 US-Dollar) umdrehen.
Gemeldeter Exploit Ether-Wallet-Guthaben Quelle: Etherscan
PekShieldAlert – der Echtzeit-Warnungs-Bot des beliebten Sicherheitsunternehmens PeckShield – warnte heute vor einem OpenSea-Frontend-Fehler und stellte fest, dass der Angreifer zu diesem Zeitpunkt bereits 332 ETH im Wert von rund 750 US-Dollar erhalten hatte.
Anscheinend @offenes Meer hat ein Front-End-Problem und der Exploiter hat etwa 332 Etherhttps://t.co/35kCB1n7nv gewonnen
—PeckShieldAlert (@PeckShieldAlert) 24. Januar 2022
Nach Angaben des Kryptowährungsanalyseunternehmens Elliptic haben bei leaOpenSeast seit Montagmorgen drei Angreifer unter Ausnutzung der Schwäche NFTs mit einem Gesamtmarktwert von etwas mehr als 1 Million US-Dollar gekauft. „Durch die Ausnutzung dieser Schwachstelle zahlte ein Angreifer heute insgesamt 133,000 US-Dollar für sieben NFTs – bevor er sie schnell für 934,000 US-Dollar weiterverkaufte“, heißt es im Blog des Unternehmens.
In einer Twitter-Thema, erklärte Rotem Yakir, ein Entwickler beim dezentralen Geldunternehmen Orbs.com, die Schwachstelle. Laut Yakir könnten Personen, die ihre NFTs erneut eingestellt haben, ohne sie zu stornieren, und sie dann zu einem höheren Preis verkauft haben, sie durch den Fehler zu einem günstigeren Preis kaufen.
Der Sicherheitsforscher Tal Be'ery bestätigte heute die Entdeckung von Elliptic und Yakir Daten anzeigen aus der Ethereum-Blockchain, die bestätigt, dass Bored Ape Yacht Club #8274 im Juli für 50,500 US-Dollar (22.9 ETH) gekauft und für etwa 296,000 US-Dollar weiterverkauft wurde. (130 ETH).
In Verbindung stehender Artikel | Was ist beim Hack von Crypto.com (CRO) schief gelaufen? Experten wägen ab
Dieser Exploit ist nicht neu
Ein früherer Exploit am 31. Dezember war Zeuge eines ähnlichen Szenarios, bei dem offenbar ein Problem durch die Übertragung von Vermögenswerten von der OpenSea-Wallet auf eine separate Wallet entstand, ohne dass die Auflistung storniert wurde.
Wenn jemand, der OpenSea nutzt, ein NFT zum Verkauf anbietet und später entscheidet, dass er nicht möchte, dass diese Anzeige aktiv bleibt, würde die Plattform laut einem Benutzer eine Gebühr für die Entfernung erheben. Dies kann jedoch kostspielig sein, weshalb Benutzer einen Workaround entwickelt haben, bei dem sie den NFT auf eine andere Wallet übertragen und dadurch die Auflistung stornieren.
1/ Vor kurzem gab es eine @offenes Meer Exploit, der den Kauf von Vermögenswerten zu stark reduzierten Preisen ermöglicht hat, darunter 3 Freshdrops-Pässe, ein BAYC https://t.co/8pEgeXkOBo, mehrere MAYCs und mehr. Ich habe heute Morgen etwas recherchiert und hier ist, was passiert -> ein ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) 31. Dezember 2021
OpenSea hat das Problem nicht behoben, als es gemeldet wurde.
In Verbindung stehender Artikel | BitMart lässt Benutzer im Leerlauf, da Hacker-Opfer auf Rückerstattungen warten
Benutzer können sehen, ob ihr Eintrag von Rarible entfernt wurde, einem weiteren NFT-Marktplatz, der die API von OpenSea nutzt. Nach Angaben des Benutzers wurde der Fehler nach dem Vorfall im Dezember gemeldet, es wurden jedoch keine Maßnahmen zur Behebung ergriffen.
ETH/USD schwebt über 2,400 $. Quelle: TradingView
Es ist erwähnenswert, dass dieses Problem auf das beabsichtigte Design von OpenSea zurückzuführen ist, einem zentralisierten Dienst, der dezentrale Münzen verwendet. Es ist schwierig, dies als Hack oder gar als Bug einzustufen. OpenSea informiert Verbraucher darüber, dass sein Dienst auf diese Weise funktioniert, was zu zahlreichen Betrügereien geführt hat. Der OpenSea-Fehler zeigt, dass es sich um einen schlampigen Marktplatz handelt, und wenn Benutzer nicht darauf achten, die richtigen Praktiken zu befolgen, können sie von versierteren Benutzern ausgenutzt werden.
Ob der OpenSea-Fehler als offene Sicherheitslücke oder als Folge eines Benutzerfehlers behandelt wird, ist derzeit unklar.
Ausgewähltes Bild von Unsplash, Diagramm von TradingView.com und Etherscan
Quelle: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/