사기꾼은 현재 목록보다 상당히 저렴한 가격으로 귀중한 NFT를 구매하기 위해 OpenSea 버그를 이용하는 것으로 보입니다.
여러 연구원과 개발자는 플랫폼의 버그를 악용하여 수십만 달러 상당의 특정 NFT가 도난당했다고 주장하면서 현재 진행 중인 문제에 대해 자세히 설명했습니다.
OpenSea 버그가 해킹할 플랫폼을 엽니다.
보고서에 따르면 저명한 NFT(Nonfungible Token) 시장 OpenSea의 프런트 엔드 결함으로 인해 사용자가 이전 목록 가격으로 인기 있는 NFT를 획득할 수 있는 익스플로잇이 발생했습니다.
이 문제는 Bored Ape Yacht Club(BAYC) 및 Mutant Ape Yacht Club(MAYC) NFT 수집품에서 만연한 것으로 보이며, 여기서 착취자는 원래 목록 가격으로 구매한 후 현재 시장 가격으로 판매할 수 있었습니다. BAYC #9991, BAYC #8924 및 MAYC #4986이 영향을 받는 NFT 중 하나입니다.
NFT 수집가 "TBALLER"가 자신의 희귀한 Bored Ape #9991이 월요일 이른 아침에 77 ETH 또는 $1,775에 판매되었다고 트윗한 후 해킹이 밝혀졌습니다.
얘들아! 내 원숭이가 77에 팔린 이유는 무엇입니까????
— TBALLER.eth(@T_BALLER6) 2022 년 1 월 24 일
"jpegdegenlove"라는 구매자는 원숭이 NFT를 거의 즉시 84.2 ETH 또는 약 $200,000에 뒤집었습니다. 사용자는 약 332ETH($754,000)를 뒤집을 수 있었습니다.
보고된 악용자 Ether 지갑 잔액 출처: Etherscan
인기 있는 보안 회사인 PeckShield의 실시간 경보 봇인 PekShieldAlert는 오늘 일찍 OpenSea 프론트엔드 결함에 대해 경고했으며, 악용된 사람들은 이미 당시 약 $332 상당의 750 ETH를 획득했다고 언급했습니다.
이 나타납니다 @opensea 프론트 엔드 문제가 있고 익스플로잇은 약 332 Ether를 얻었습니다https://t.co/35kCB1n7nv
— PeckShieldAlert(@PeckShieldAlert) 2022 년 1 월 24 일
암호화폐 분석 회사 Elliptic에 따르면 leaOpenSeast에서 1명의 공격자가 월요일 아침부터 약점을 이용하여 총 시장 가치가 133,000만 달러가 약간 넘는 NFT를 구매했습니다. "이 결함을 악용하여 오늘 한 공격자는 934,000개의 NFT에 대해 총 XNUMX달러를 지불했습니다. 그 전에 빠르게 XNUMX달러에 판매했습니다."라고 회사의 블로그는 설명했습니다.
안에 트위터 스레드, 분산 화폐 비즈니스 Orbs.com의 개발자인 Rotem Yakir는 취약점을 설명했습니다. Yakir에 따르면 NFT를 취소하지 않고 다시 등록한 다음 더 높은 가격에 판매한 사람들은 결함을 통해 더 저렴한 가격으로 구매할 수 있었습니다.
오늘 일찍 보안 연구원 Tal Be'ery는 Elliptic과 Yakir의 발견을 다음과 같이 확증했습니다. 데이터 표시 Bored Ape Yacht Club #8274가 50,500월에 $22.9(296,000 ETH)에 구매되었고 약 $130에 재판매되었음을 이더리움 블록체인에서 확인했습니다. (XNUMX ETH).
관련 기사 | Crypto.com(CRO) 해킹에서 무엇이 잘못되었습니까? 전문가의 무게
이 익스플로잇은 새로운 것이 아닙니다.
31월 XNUMX일의 이전 익스플로잇에서는 상장이 취소되지 않은 채 OpenSea 지갑에서 별도의 지갑으로 자산을 이전하는 데 문제가 있는 것으로 보이는 유사한 시나리오를 목격했습니다.
한 사용자에 따르면 OpenSea를 사용하는 누군가가 NFT를 판매용으로 내놓았고 나중에 해당 광고가 활성 상태로 유지되는 것을 원하지 않는다고 결정하면 플랫폼에서 제거 비용을 청구합니다. 그러나 이것은 비용이 많이 들 수 있으므로 사용자는 NFT를 다른 지갑으로 전송하여 목록을 취소하는 해결 방법을 고안했습니다.
1/ 최근에 @opensea 3개의 freshdrops 패스, BAYC https://t.co/8pEgeXkOBo, 여러 MAYC 등을 포함하여 자산을 크게 할인된 가격으로 구매할 수 있는 익스플로잇. 나는 오늘 아침에 약간의 조사를 했고 여기에 무슨 일이 일어나고 있는지 -> ??
— cap10bad.ΞTH | freshdrops.io(@cap10bad) 2021 년 12 월 31 일
OpenSea는 보고되었을 때 이 문제를 해결하지 않았습니다.
관련 기사 | BitMart는 해킹 피해자가 환불을 기다리는 동안 사용자를 읽기 상태로 둡니다.
사용자는 OpenSea의 API를 사용하는 또 다른 NFT 마켓플레이스인 Rarible에서 목록이 제거되었는지 확인할 수 있습니다. 사용자에 따르면 결함은 XNUMX월 발생 이후에 보고되었지만 해결을 위한 조치는 취하지 않았습니다.
ETH/USD는 $2,400 이상입니다. 출처: TradingView
이 문제는 분산된 코인을 사용하는 중앙 집중식 서비스인 OpenSea의 의도된 설계의 결과로 발생했다는 점은 주목할 가치가 있습니다. 이것을 해킹이나 버그로 분류하는 것은 어렵습니다. OpenSea는 소비자들에게 이것이 서비스가 작동하는 방식임을 알리고 이로 인해 수많은 사기가 발생했습니다. OpenSea 버그는 그것이 조잡한 시장임을 보여주며, 사용자가 적절한 관행을 따르는 데 신중하지 않으면 더 정통한 사용자에게 악용될 수 있습니다.
OpenSea 버그가 공개 보안 결함으로 처리되는지 아니면 사용자 오류의 결과인지는 현재 명확하지 않습니다.
Unsplash의 추천 이미지, TradingView.com 및 Etherscan의 차트
출처: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/