Openseaの保留中の注文の脆弱性が悪用され、数百万ドルの損失をもたらしました

2022-02-07, 10:08


【ティッカー】DR】

1. 2022年1月24日、世界最大のNFT取引プラットフォームであるOpenseaがハッキングされ、約100万ドルの損失が発生しました。
2. OpenSeaのフロントエンドに未決注文の脆弱性があり、チェーン上でキャンセルされていない未決注文はまだ存在します。 ユーザーがガス料金を支払わずにNFTから送金し、未決注文をキャンセルした場合、OpenSeaアカウントにNFTに戻す際に資産リスクに遭遇します。
3. 木曜日に提供されたOpenSeaの公式データによると、OpenSeaは合計130人のウォレット所有者に対して750 ETHを補償しました。
4.ハッカーのハッキングによって引き起こされた損失に加えて、OpenSeaは最近、上場の準備のためにコミュニティの不満を引き起こしました。

2022年1月24日、世界最大のNFT取引プラットフォームであるOpenseaがハッキングされ、約100万ドルの損失が発生しました。

事件が発生したとき、多くのユーザーはNFTが非常に低価格で購入され、すぐに高値で転売されていることに気付きました。 たとえば、退屈な類人猿の最低販売価格は$ 198,000であることはよく知られています。 しかし、ユーザーの退屈な類人猿は1800ドルで購入され、20分後に196,000ドルで販売されました。 明らかに、ハッカーはOpenseaプラットフォームの脆弱性を利用して、高い価格差を得るために他人のNFTを高く買って安く売った。 低く購入され、高く売られるNFT資産には、Bored Ape Yacht Club、Mutant Ape Yacht Club、Cool Cats、Cyberkongz NFTが含まれます。 たとえば、この脆弱性は25日の7:00頃にハッカーによって悪用されたため、Bored Ape Yacht Club NFT #9991は0.77ETHの非常に低価格で購入され、その後84.2ETHの通常価格で再び販売されました。


OpenSeaに加えて、別の主流のNFT取引市場であるRaribleも同じ形でハッキングされています。 2つのNFT市場が同様にハッキングされている理由は、RaribleがOpenSeaのAPIを使用してNFTを起動していることが報告されています。 このAPIには抜け穴があり、未決注文が異常になります。

通常のリスティングの場合、NFT販売時の署名情報はOpenSeaサーバに一時的に保存されます。 このデータはAPIを介してアクセスでき、トランザクションが正常に完了した後に無効になります。 しかし、メカニズムの抜け穴のために、OpenSeaで取引を完了した未決注文はまだアクティブである可能性があります。 NFT購入者がNFTをOpenSeaに戻すと、ハッカーはこれを悪用して元のオファーでNFTを購入します。 以前の見積もりはNFT価格がまだ非常に低いときに生成されたため、ハッカーはNFTを超低価格で購入し、市場価格で迅速に販売することができました。


事件が起こったとき、傷ついた興味を持つ多くのユーザーは、ソーシャルメディアで心配して助けを求めました。 次の図は、上記の退屈な猿ヨットクラブNFT #9991の元の所有者です。 さらに、多くのユーザーは、NFTが期限切れの価格で購入されたと言いました。

ユーザーが未決注文をキャンセルすることを決定した場合、未決注文は、ユーザーが未決注文をキャンセルすることを決定した場合にのみ消えます。 ユーザーが(ガス料金を避けるために)実際に未決注文をキャンセルせずにNFTのみを他のウォレットに転送する場合、NFTをOpenSeaに転送するときに、元の削除されていない未決注文が悪用される可能性があります。

事件後、「bor4edape93」というニックネームのツイッターユーザーがスクリーンショットを投稿し、2021年6月に脆弱性を発見し、OpenSeaの関係者に報告したと述べた。 しかし、Openseaは明らかにこの問題に注意を払わず、脆弱性に対処しなかったため、最終的にハッカー事件が発生しました。 Openseaの取引情報によると、ハッカーの疑いのある人の口座IDは「jpegdegenlove」で、数時間でこのようにして80万ドル以上を稼ぎ出しました。 現在、アカウントのホームページにアクセスできません。

以前はNFT保有者はこの脆弱性の存在を認識していなかったため、以前に購入したNFTをOpenSeaに戻すと、資産が危険にさらされます。 1月28日のニュースによると、OpenSeaの当局者は、古い注文をキャンセルしていないユーザーに電子メールで連絡を取り、チェーン上の元の注文をキャンセルするように促しました。 さらに、OpenSeaの関係者が木曜日に提供したデータによると、OpenSeaは合計130人のウォレット所有者に対して750ETHを補償しました。


2017年に設立されたオープンシーは、世界最大のNFT取引市場です。 ユーザーは、オープンシー、貿易とオークションNFTの作品にNFTをキャストすることができます。 このNFT取引市場では、デジタルアート、グッズ、ゲームアイテム、ドメイン名、さらにはデジタル形式の物理的資産など、取引できるNFTの多くの種類があります。 本質的に、OpenSeaはタオバオのNFTバージョンです。 タオバオでは、人々はあらゆる種類の物理的な商品を購入しますが、オープンシーでは、人々はさまざまな種類のデジタル資産を取引します。 NFT業界は、暗号化された芸術作品、暗号化されたアバター、仮想不動産のために今年も何度も注目を集めているため、Openseaユーザーの数も増加しています。 現在、Openseaの月間アクティブユーザー数は200,000人に達しています。

しかし、ハッカーのハッキングによって引き起こされた損失に加えて、Openseaは最近他の多くの紛争にも遭遇しました。 昨年12月6日、OpenSeaの新しいCFOであるBrian Robertsは、同社がIPOを積極的に推進していることを明らかにした。 この動作は、暗号化コミュニティによってユーザーの裏切りと見なされます。 暗号化ファンは、プラットフォームの急速な成長をサポートします。 彼らは、OpenSeaがEthereumドメイン名サービスENSやRarible(別のNFT取引プラットフォーム)のように、エアドロップを通じてガバナンストークンを配布できることを望んでいます。

OpenSeaに抗議するために、コミュニティは12月24日にOpenDAOを立ち上げ、OpenSeaとやり取りしたすべてのユーザーにガバナンストークンSOSを空中投下します。 エアドロップの数は、OpenSeaを使用するユーザーの程度に関連しています。 SOSトークンの総流通量は100兆で、そのうち50%がエアドロップに、20%がステーキング報酬に、10%がユーザー流動性マイニング報酬に、20%がユーザーDaoの毎日のメンテナンスに使用されます。

12月26日、オープンシーの当局者も応じた。 一方では、OpenSeaの職員はSOSトークンの空中投下とは何の関係もなかったが、OpenSeaはコミュニティの貢献を確認した。一方、SOSトークンの非公式な背景のために、OpenSeaはSOSトークンに関連するリスクをユーザーに思い出させます。


著者: Gate.io オブザーバー: エドワード・H
免責事項:
*この記事はオブザーバーの見解のみを表しており、投資提案を構成するものではありません。
*Gate.io は、この記事に対するすべての権利を留保します。 記事の再投稿は、参照されている限り許可さ Gate.io ます。 それ以外の場合、著作権侵害により法的措置が取られます。


今週の Gate.io おすすめ記事
SQUIDゲーム契約の脆弱性の分析 - リスクは依然として高い
2021年のDeFiハッキング事件
Looksrare NFTマーケットプレイスがOpenSeaと競合
共有
gate logo
Credit Ranking
Complete Gate Post tasks to upgrade your rank