Penipu tampaknya memanfaatkan bug OpenSea untuk membeli NFT berharga dengan harga yang jauh lebih murah daripada daftar mereka saat ini.
Beberapa peneliti dan pengembang telah merinci masalah yang sedang berlangsung, dengan beberapa mengklaim bahwa NFT tertentu senilai ratusan ribu dolar telah dicuri dengan mengeksploitasi bug platform.
Bug OpenSea Membuka Platform Untuk Meretas
Menurut laporan, kesalahan di bagian depan pasar nonfungible token (NFT) OpenSea telah menghasilkan eksploitasi yang memungkinkan pengguna untuk memperoleh NFT populer dengan harga daftar sebelumnya.
Masalah ini tampaknya lazim dengan koleksi NFT Bored Ape Yacht Club (BAYC) dan Mutant Ape Yacht Club (MAYC), di mana pengeksploitasi dapat membelinya dengan harga jual aslinya dan kemudian menjualnya dengan harga pasar saat ini. BAYC #9991, BAYC #8924, dan MAYC #4986 termasuk di antara NFT yang terpengaruh.
Peretasan itu terungkap setelah kolektor NFT “TBALLER” men-tweet bahwa Bored Ape #9991 mereka yang langka dijual dengan harga .77 ETH, atau $1,775 pada Senin pagi.
Ayo teman-teman! Idk apa yang baru saja terjadi mengapa kera saya hanya menjual 77?????
— TBALLER.eth (@T_BALLER6) Januari 24, 2022
Pembeli, yang menggunakan "jpegdegenlove," segera membalik NFT kera seharga 84.2 ETH, atau sekitar $200,000. Pengguna telah dapat membalik sekitar 332ETH ($754,000).
Pengeksploitasi yang dilaporkan Saldo dompet Ether Sumber: Etherscan
PekShieldAlert — bot peringatan real-time perusahaan keamanan PeckShield yang populer — diperingatkan akan kelemahan front-end OpenSea hari ini, mencatat bahwa yang dieksploitasi telah memperoleh 332 ETH senilai sekitar $750K pada saat itu.
Tampak bahwa @optik memiliki masalah front-end dan pengeksploitasi memperoleh sekitar 332 Etherhttps://t.co/35kCB1n7nv
– PeckShieldAlert (@PeckShieldAlert) Januari 24, 2022
Menurut firma analisis cryptocurrency Elliptic, setidaknya tiga penyerang telah membeli NFT dengan total nilai pasar sedikit lebih dari $ 1 juta memanfaatkan kelemahan sejak Senin pagi. “Dengan memanfaatkan kelemahan ini, satu penyerang hari ini membayar total $133,000 untuk tujuh NFT—sebelum dengan cepat menjualnya seharga $934,000,” tulis blog perusahaan itu.
Di sebuah Untaian Twitter, Rotem Yakir, seorang pengembang di bisnis uang terdesentralisasi Orbs.com, menjelaskan kerentanannya. Orang-orang yang mendaftarkan kembali NFT mereka tanpa membatalkannya dan kemudian menjualnya dengan harga lebih tinggi dapat membeli mereka dengan harga lebih murah melalui kesalahan tersebut, menurut Yakir.
Sebelumnya hari ini, peneliti keamanan Tal Be'ery membenarkan penemuan Elliptic dan Yakir dengan menampilkan data dari blockchain Ethereum yang mengonfirmasi bahwa Bored Ape Yacht Club #8274 dibeli pada bulan Juli seharga $50,500 (22.9 ETH) dan dijual kembali dengan harga sekitar $296,000. (130 ETH).
Artikel terkait | Apa yang Salah Dalam Peretasan Crypto.com (CRO)? Ahli Menimbang
Eksploitasi Ini Bukanlah Hal Baru
Eksploitasi sebelumnya pada 31 Desember menyaksikan skenario serupa, di mana masalah muncul dari transfer aset dari dompet OpenSea ke dompet terpisah tanpa daftar dibatalkan.
Menurut salah satu pengguna, jika seseorang yang menggunakan OpenSea menjual NFT dan kemudian memutuskan mereka tidak ingin iklan itu tetap aktif, platform akan mengenakan biaya untuk penghapusannya. Namun, ini bisa mahal, oleh karena itu pengguna menemukan solusi di mana mereka mentransfer NFT ke dompet lain, sehingga membatalkan daftar.
1/ Baru-baru ini ada @optik exploit yang memungkinkan aset dibeli dengan harga diskon besar-besaran, termasuk 3 pass baru, sebuah BAYC https://t.co/8pEgeXkOBo, beberapa MAYC, dan banyak lagi. Saya melakukan riset pagi ini dan inilah yang terjadi -> a ??
— cap10buruk.ΞTH | freshdrops.io (@cap10bad) Desember 31, 2021
OpenSea tidak mengatasi masalah saat dilaporkan.
Artikel terkait | BitMart Meninggalkan Pengguna Di Baca Sebagai Korban Peretasan Menunggu Pengembalian Dana
Pengguna dapat melihat apakah daftar mereka telah dihapus dari Rarible, pasar NFT lain yang menggunakan API OpenSea. Menurut pengguna, cacat itu dilaporkan setelah kejadian Desember, tetapi tidak ada tindakan yang diambil untuk menyelesaikannya.
ETH/USD melayang di atas $2,400. Sumber: TradingView
Perlu dicatat bahwa masalah ini muncul sebagai akibat dari desain OpenSea yang dimaksudkan, layanan terpusat yang menggunakan koin terdesentralisasi. Sulit untuk mengklasifikasikan ini sebagai peretasan atau bahkan bug. OpenSea memberi tahu konsumen bahwa ini adalah cara kerja layanannya, yang telah menghasilkan banyak penipuan. Bug OpenSea menunjukkan bahwa ini adalah pasar yang ceroboh, dan jika pengguna tidak berhati-hati untuk mengikuti praktik yang benar, mereka dapat dieksploitasi oleh pengguna yang lebih cerdas.
Apakah bug OpenSea sedang diperlakukan sebagai kelemahan keamanan terbuka atau akibat dari kesalahan pengguna saat ini tidak jelas.
Gambar unggulan dari Unsplash, grafik dari TradingView.com dan Etherscan
Sumber: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/