Hacker nutzten einen bestehenden Fehler in der OpenSea-Plattform aus, um mehrere NFTs im Wert von über einer Million Dollar zu drastischen sechsstelligen Preisnachlässen zu erwerben.
Elliptic meldet NFT-Verlust auf OpenSea
Ziel des Hacks waren NFTs über mehrere Wallets hinweg, wo die Angreifer sie zu zuvor aufgeführten Preisen kaufen konnten, ohne den Besitzern einen Hinweis zu geben. OpenSea hat noch keinen Kommentar oder eine Ankündigung zu dem Angriff abgegeben, der zuerst vom Blockchain-Analyseunternehmen Elliptic bemerkt und gemeldet wurde.
Laut Tom Robinson, Chefwissenschaftler und Mitbegründer von Elliptic
„Der Exploit scheint darauf zurückzuführen zu sein, dass es bisher möglich war, einen NFT zu einem neuen Preis erneut aufzulisten, ohne die vorherige Auflistung zu stornieren. Diese alten Angebote werden nun genutzt, um NFTs zu in der Vergangenheit festgelegten Preisen zu kaufen – oft deutlich unter den aktuellen Marktpreisen.“
Fehler ausgenutzt, um NFTs zu stehlen
Einer der NFTs, die durch Ausnutzung dieses Fehlers gestohlen wurden, war Bored Ape #9991 aus der beliebten Bored Ape Yacht Club-Sammlung. Der NFT wurde für 0.77 ETH (rund 1747 US-Dollar) gekauft, ein drastisch niedriger Preis für einen Bored Ape NFT, der normalerweise für Hunderttausende US-Dollar verkauft wird. Allerdings war dem Eigentümer zum Zeitpunkt des Verkaufs nicht bekannt, dass NFT für einen so geringen Betrag gelistet war. Kurz darauf wurde derselbe NFT für 84.2 ETH (ca. 189,040 US-Dollar) verkauft, was einen erheblichen Gewinn von über 187,000 US-Dollar bedeutete.
CEO Robinson hat auf insgesamt acht NFTs hingewiesen, die auf diese Weise gestohlen wurden. Die ursprünglichen Wallets waren alle unterschiedlich, während es bei den Angreifern insgesamt nur drei Wallets gab. Eine andere Angreifer-Wallet konnte sieben NFTs für 133,000 US-Dollar erwerben, während ein dritter einen weiteren Bored Ape NFT für magere 23 ETH erwarb.
Wie entsteht dieser Fehler?
In einem Twitter-Thread hat der Softwareentwickler Rotem Yakir zusammengefasst, wie der Fehler durch eine Diskrepanz zwischen den in NFT-Smart-Verträgen verfügbaren Informationen und den von der Benutzeroberfläche von OpenSea präsentierten Informationen entstanden ist. Letztendlich ermöglicht der Fehler Angreifern den Zugriff auf alte Vertragspreise, die noch auf der Blockchain vorhanden sind, aber in der OpenSea-Anwendung nicht sichtbar sind. Potenzielle Käufer auf OpenSea geben ein Gebot auf den sichtbaren „Listenpreis“ ab, der vom NFT-Eigentümer festgelegt wird. Sobald ein Käufer den Listenpreis akzeptiert, geht das Eigentum am NFT automatisch auf ihn über.
Der Fehler entsteht, wenn Eigentümer ihre NFTs zu einem höheren Preis erneut auflisten möchten, aber nicht die Gasgebühren zahlen möchten, um die erste Auflistung zu stornieren. Stattdessen übertragen sie den NFT auf ein anderes Wallet und dann zurück auf das ursprüngliche Wallet. Dadurch wird der Eintrag aus dem Frontend von OpenSea entfernt. Der ursprüngliche Eintrag bleibt jedoch in der Blockchain aktiv und kann über die OpenSea-API gefunden werden.
Interessant ist, dass dieser Fehler bereits im Dezember 2021 entdeckt wurde. Darüber hinaus warf bereits im Januar 2022 ein Twitter-Thread Licht auf den Zwangsverkauf von NFTs mit dieser Methode. Allerdings hat OpenSea zu diesem Zeitpunkt keine vorbeugenden Maßnahmen ergriffen.
Haftungsausschluss: Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Investitions-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea