Bilgisayar korsanları, altı haneli ciddi indirimlerle değeri bir milyon doların üzerinde birden fazla NFT satın almak için OpenSea platformundaki mevcut bir hatadan yararlandı.
Eliptic, OpenSea'de NFT Kaybını Bildirdi
Saldırıda birden fazla cüzdandaki NFT'ler hedef alındı ve saldırganlar bunları sahiplerine haber vermeden daha önce listelenen fiyatlardan satın alabildi. İlk olarak blockchain analiz şirketi Elliptic tarafından fark edilen ve bildirilen saldırıyla ilgili OpenSea henüz bir yorum ya da duyuru yapmadı.
Elliptic'in baş bilim insanı ve kurucu ortağı Tom Robinson'a göre
“Bu istismarın, daha önce bir NFT'yi önceki listelemeyi iptal etmeden yeni bir fiyatla yeniden listelemenin mümkün olmasından kaynaklandığı görülüyor. Bu eski listelemeler artık geçmişte belirtilen fiyatlardan (çoğunlukla mevcut piyasa fiyatlarının çok altında) NFT satın almak için kullanılıyor.”
NFT'leri Yakalamak İçin Hata İstismarı
Bu hatadan yararlanılarak çalınan NFT'lerden biri, popüler Bored Ape Yacht Club koleksiyonundan Bored Ape #9991'di. NFT, genellikle yüzbinlerce dolara satılan Bored Ape NFT için son derece düşük bir fiyat olan 0.77 ETH (yaklaşık 1747 $) karşılığında satın alındı. Ancak satış sırasındaki sahibi, NFT'nin bu kadar düşük bir tutarla listelendiğinin farkında değildi. Bundan kısa bir süre sonra aynı NFT 84.2 ETH'ye (yaklaşık 189,040 $) satıldı ve 187,000 $'ın üzerinde önemli bir kar elde edildi.
CEO Robinson, bu şekilde çalınan toplam sekiz NFT'ye dikkat çekti. Kaynak cüzdanların hepsi farklıydı, saldırganların toplam cüzdanları ise sadece üçtü. Başka bir saldırgan cüzdanı 133,000 $ karşılığında yedi NFT alırken, üçüncüsü sadece 23 ETH karşılığında başka bir Bored Ape NFT satın aldı.
Bu Hata Nasıl Oluşuyor?
Yazılım geliştiricisi Rotem Yakir, bir Twitter başlığında, hatanın NFT akıllı sözleşmelerinde mevcut olan bilgiler ile OpenSea'nin kullanıcı arayüzü tarafından sunulan bilgiler arasındaki uyumsuzluktan nasıl yaratıldığını özetledi. Sonuçta bu hata, saldırganların blockchainde hala mevcut olan ancak OpenSea uygulamasında görüntülenmesi engellenen eski sözleşme fiyatlarına erişmesine olanak tanıyor. OpenSea'deki potansiyel alıcılar, NFT sahibi tarafından belirlenen görünür "liste fiyatı" üzerinden teklif verir. Alıcı liste fiyatını kabul ettiğinde NFT'nin mülkiyeti otomatik olarak kendisine aktarılır.
Hata, sahiplerin NFT'lerini daha yüksek bir fiyatla yeniden listelemek istemeleri ancak ilk listelemeyi iptal etmek için gas ücretlerini ödemek istememeleri durumunda ortaya çıkıyor. Bunun yerine NFT'yi başka bir cüzdana aktarırlar ve ardından orijinal cüzdana geri dönerler. Bunu yapmak, listeyi OpenSea'nin ön ucundan kaldırır. Ancak orijinal listeleme blockchain üzerinde aktif kalır ve OpenSea API aracılığıyla bulunabilir.
Bu hatanın Aralık 2021'de keşfedilmiş olması ilginçtir. Üstelik Ocak 2022'de bile bir Twitter başlığı, bu yöntemle NFT'lerin zorunlu satışına ışık tuttu. Ancak o sırada OpenSea tarafından herhangi bir önleyici tedbir alınmadı.
Sorumluluk Reddi: Bu makale yalnızca bilgi amaçlı sağlanmıştır. Yasal, vergi, yatırım, mali veya başka bir tavsiye olarak sunulmaz veya kullanılması amaçlanmaz.
Kaynak: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea