🔑 注册账户
👨💼 24小时内进行身份认证
🎁 获得点卡奖励
Gate博客
加密货币新闻、热点&行业洞察
OpenSea挂单漏洞遭利用,造成百万美元损失
02月07日 18:08
【TL; DR】
1. 2022年1月24日,全球最大的NFT交易平台Opensea遭到攻击,造成了接近100万美元的损失。
2. OpenSea前端存在挂单漏洞,此前未经链上取消的挂单会仍然存在。用户若未支付gas fee取消挂单就转出NFT,在转回NFT到OpenSea账户时便会面临资产风险。
3. 根据OpenSea官方在周四提供的数据,OpenSea已经为总计130个钱包所有者补偿了750个以太币。
4. 除了遭受黑客攻击造成损失外,近期OpenSea因准备上市引发社区不满。
2022年1月24日,全球最大的NFT交易平台Opensea遭到攻击,造成了接近100万美元的损失。
事件发生时,多名用户发现自己的NFT被人以极低的价格买入,并迅速被高价转卖。例如,众所周知,无聊猿目前的最低售价为19.8万美元,然而,某用户的无聊猿却被人以1800美元的价格买走,并在20分钟后以19.6万美元的价格出售。显然,攻击者利用了Opensea平台的漏洞,低买高卖他人的NFT以赚取高额差价。被低买高卖的NFT资产包括Bored Ape Yacht Club、Mutant Ape Yacht Club、Cool Cats和Cyberkongz NFTs等。例如,Bored Ape Yacht Club NFT #9991就在25日7点左右被利用该漏洞以0.77ETH的极低价格购入,随后以84.2ETH的正常价格再度出售。
除了OpenSea外,另一家主流NFT交易市场Rarible也遭到了同样形式的攻击。据悉,这两个NFT市场之所以受到同样攻击,是因为Rarible也使用了来自OpenSea的某个用来上架NFT的API,这一API存在漏洞,使得挂单出现异常。在正常挂单情况下,出售NFT时的签名信息会暂存在OpenSea的服务器上,这一数据可以通过API进行访问,并且会在交易正常完成后作废。但由于机制上的漏洞,在OpenSea已经完成交易的挂单有可能仍处于活动状态,一旦NFT的买者将NFT转回OpenSea,这一点会被黑客利用,以原来的报价买入NFT。由于此前报价是在该NFT价格还很低时产生的,黑客得以使用超低价格买入NFT,在用市价迅速卖出。
事件发生时,多位利益受损的用户在社交媒体上焦急地寻求帮助。下图即是前文所提及的Bored Ape Yacht Club NFT #9991的原有主人。此外,还有多位用户都称自己的NFT被以过期的价格买走。
对于用户来说,在OpenSea上出售NFT商品时,如果决定取消挂单,只有支付gas fee在链上取消挂单,挂单才会真正消失。如果用户仅仅将NFT转入其他钱包而不真正取消挂单(以规避gas fee),那么当他们将NFT转回OpenSea时,原有的未删除挂单便可能会被利用。
事件发生后,一位昵称”bor4edape93”的推特网友发布截图表示自己在2021年6月是便已发现这个漏洞,并向Opensea官方报告。但Opensea显然并未重视这一问题,也并未处理漏洞,最终导致此次黑客事件发生。据Opensea交易信息,一个疑似黑客的账户id为“jpegdegenlove”,该账户在数小时内以此方式获利超过80万美元。目前,该账户主页已经无法访问。
由于此前NFT的持有者并不知晓这一漏洞的存在,一旦他们将此前购得的NFT转回到OpenSea,他们的资产便会陷入风险之中。据1月28日消息,OpenSea官方已经在通过邮件联系那些尚未取消旧有订单的用户,提醒他们在链上取消原有订单。此外,根据OpenSea官方在周四提供的数据,OpenSea已经为总计130个钱包所有者补偿了750个以太币。
OpenSea成立于2017年,是目前全球规模最大的NFT交易市场,用户可以在Opensea上铸造NFT,也可以交易、拍卖NFT作品。在这个NFT买卖市场上,能够交易的NFT种类繁多,比如,数字艺术,收藏品、游戏物品、域名乃至实物资产的数字形式等。从本质上讲,Opensea就是NFT版的淘宝,在淘宝上,人们购买各种实物商品,而在Opensea上,人们交易不同类别的数字资产。随着NFT产业在今年先后因加密艺术品、加密头像和虚拟地产而一次次“出圈”,OpenSea用户量也节节攀升。目前,OpenSea月度活跃用户数已经达到20万人。
但是,除了遭受黑客攻击造成损失外,近期OpenSea还面临着其他诸多争论。去年12月 6日,OpenSea新任CFO布赖恩·罗伯茨(Brian Roberts) 透露,该公司正在积极推动IPO上市。这一行为被加密社区视作一种对用户的背弃,是加密粉丝支持了该平台的迅速成长,他们希望OpenSea可以通过空投分发治理代币,就像去年大火的以太坊域名服务ENS以及另一家NFT交易平台Rarible那样。
为了抗议OpenSea,社区已于12月24日上线OpenDAO,将向所有曾与OpenSea交互过得用户空投治理代币SOS,空投数量与用户使用OpenSea的程度相关。SOS代币总发行量100万亿,其中50%将用于空投,20%将用于质押奖励,10%用户流动性挖矿奖励,20%用户DAO日常维护。
12月26日,OpenSea官方也做出回应,一方面,虽然OpenSea官方与SOS代币空投无关,OpenSea还是对社区贡献表示了肯定;另一方面,由于SOS代币的非官方背景,OpenSea也提醒用户注意SOS代币有关风险。
作者:Gate.io 研究员 Edward.H
*本文仅代表观察员观点,不构成任何投资建议。
*本文内容为原创,版权为Gate.io所有,如需转载请注明作者和出处。
Gate.io 精选文章
《SQUID鱿鱼游戏合约漏洞技术分析-仍然存在极高风险点》
《2021年发生的DeFi黑客事件》
《NFT市场Looksrare与OpenSea的争夺战》
解锁盲盒最高获$6666奖励
立即注册
即刻领取20点卡
新人专享,仅需2步马上获得点卡
马上领取
