OpenSea Bug permette à i pirate di rubà più di $ 1 milione in NFT
OpenSea Bug permette à i pirate di rubà più di $ 1 milione in NFT
U mercatu Premier NFT OpenSea pò avè sfruttatu cù successu u boom NFT per una valuta mostru di $ 13 miliardi, ma u so sistema hè sempre riccu di difetti di sicurezza, unu di i quali hè statu sfruttatu cù successu da i pirate, chì hà risultatu in u furtu di $ 1M in assi digitale.
Elliptic informa chì un bug in u mercatu di OpenSea hà ghjucatu un rolu in almenu trè attacchi. Hackers hà sappiutu aduprà u bug per cumprà almenu 8 NFT per assai menu di ciò chì era cunsideratu u so "valore di u mercatu ghjustu". Tutti i trè incidenti avianu accadutu in un ghjornu di u rapportu.
Unu di l'attaccanti hà pagatu solu $ 133K per sette NFT sfruttendu u bug – solu per vultà è vende immediatamente per $ 934K.
In un altru esempiu, una NFT chì appartene à a serie Bored Ape Yacht Club hè stata cumprata per solu 0,77 ETH (solu $ 1,800 da u luni matina). Parechji altri membri di a famiglia anu vindutu per circa $ 200K.
A vendita di quellu membru di BAYC hà attiratu l'attenzione di altre fonti di niche di nutizie è chistumi in criptu.
⚠️⚠️⚠️ ATTENZIONE ⚠️⚠️⚠️
MAJOR BUG MARE APERTO CHE PERMETTENU À I HACKERS DI ROBà I VOSTRI #NFTS
-Per piacè verificate chì i vostri listi sò stati eliminati in modu adattatu o pudete esse scammed istantaneamente ma i pirate.
Cuntrolla mio RT è dinù statimi pic.twitter.com/qBtIgmw6cL
– Sir Bitlord (@crypto_bitlord7) 24 di ghjennaghju di u 2022
BREAKING: Un bug in @opensea face chì Apes sia listatu è vendutu à i prezzi di listinu precedente pic.twitter.com/0zxFkXLfKx
— m0rgan.ethᵍᵐ ♀️ (@Helloimmorgan) 24 ghjennaghju 2022
Da u luni 1000ET, l'attacchi parenu esse in corso.
Un bug #OpenSea hà causatu un #BAYC #NFT per vende per menu di 1% di u so veru valore ($ 2,000) in #Rarible !
Sapete di più nantu à cumu un "hack di vita" per evità di pagà i tariffi di gasu mette in risicu milioni di dollari. #NFTs #LooksRare $ETH
– Novum Insights (@NovumInsights) 24 di ghjennaghju di u 2022
Questu significa chì l'utilizatori di OpenSea puderanu pensà duie volte prima di elencu unu di i so preziosi gif di blockchain in vendita, per ùn esse chjapputu da un pirate per assai menu di quellu chì avete pagatu per questu.
Un utilizatore di Twitter hà creatu un spartimentu passu à passu di cumu si sò sviluppati i pirate:
Finitu l'analisi in catena di cumu un scammer arrubbatu Bored Ape #NFT in @opensea è hà guadagnatu $ 880k USD in 90 minuti: Di seguito sò i fatti è a mo cunclusione
RT per sparghje a cuscenza
Continua a leghje…
– OKHotshot.eth (@NFTherder) 24 di ghjennaghju di u 2022
Prima di principià – sapete chì stu filu hà un spaziu limitatu per quessa chì copre solu i prublemi principali. Hè destinatu solu per scopi educativi è tutte l'infurmazioni spartuti sò dispunibuli publicamente …
– OKHotshot.eth (@NFTherder) 24 di ghjennaghju di u 2022
1) Oghje un scammer hà sappiutu cumprà parechje #NFT di altu valore perchè hà trovu i liste precedenti di quelli nfts attraversu una scappata.
Cumu hè stata fatta è cumu pudete impedisce chì questu succede à i vostri nfts?
– OKHotshot.eth (@NFTherder) 24 di ghjennaghju di u 2022
2) Un scammer cunnisciutu cum'è "jpegdegenlove" hà utilizatu un mixer di soldi per mandà 10Ξ à un portafogliu novu creatu prima di eseguisce stu attaccu.
Dopu hà compru un CoolCat per 3E & Bored Ape per 0.77E, cù i piani attuali di 12Ξ è 86Ξ❗️
Chì successe dopu ? pic.twitter.com/LiddepondM
– OKHotshot.eth (@NFTherder) 24 di ghjennaghju di u 2022
3) In 20 minuti u scammer hà vindutu u CoolCat per 11Ξ, è hà utilizatu i prufitti per cumprà un altru #BAYC per 6.66Ξ.
Allora ripete u mudellu di cumprà è vende diverse
#NFT di altu valore per circa 90 minuti pic.twitter.com/pEFZNuJCsg– OKHotshot.eth (@NFTherder) 24 di ghjennaghju di u 2022
4) Allora cumu hè pussibule? A causa di una delisting impropriu. Esempiu: Sè vo liste u vostru NFT per 3Ξ, ma poi annullà quellu listinu duvete pagà gas
Certi ppl evitari di pagà quellu gasu mandendu u so NFT
avanti è avanti trà 2 portafogli sguassate u listinu
fora di u situ di OS … pic.twitter.com/nDWHXeRE95– OKHotshot.eth (@NFTherder) 24 di ghjennaghju di u 2022
5) Questu hè un prublema per QUALUNQUE situazione induve elencu u vostru NFT in vendita, ma poi trasfirìulu avanti è avanti trà i portafogli MENTRE chì a vendita hè sempre attiva.
Perchè una volta chì l'NFT hè rinviatu in a billetera originale, u listinu originale hè attivu di novu pic.twitter.com/izlCImCWcu
– OKHotshot.eth (@NFTherder) 24 di ghjennaghju di u 2022
6) Pudete prevene stu prublema eliminendu currettamente i vostri #NFT prima di trasfiriri à altri portafogli
Sè vo circate di evità di pagà u gasu per a delisting, ùn pudete micca rinvià in modu sicuru à a billetera originale in u futuru
– OKHotshot.eth (@NFTherder) 24 di ghjennaghju di u 2022
7) Speculazione: u più prubabilmente u scammer hà utilizatu l'API @opensea per tirà i vechji elenchi nantu à u so propiu situ induve a mo ipotesi avissi aduprà u so propiu front-end o dApp per cumprà in realtà.
Tuttavia…
– OKHotshot.eth (@NFTherder) 24 di ghjennaghju di u 2022
8) … u scammer sapia definitivamente ciò chì facianu, anu utilizatu un mixer per anonimizà u finanziamentu originale, hà avutu una lista di NFT vulnerabili per questu per cumprà, è eseguitu l'attaccu in 90 minuti …
– OKHotshot.eth (@NFTherder) 24 di ghjennaghju di u 2022
9) Questu ùn hè micca necessariu un pirate o un sfruttamentu. Una descrizzione megliu seria una scappata abusata da un cattivu attore
Nota chì questu ùn hè micca limitatu à l'OS, puderia accade in ogni mercatu
– OKHotshot.eth (@NFTherder) 24 di ghjennaghju di u 2022
Per impediscenu chì questu succede, aduprate i seguenti cunsiglii:
– Ùn trasferisce micca NFT chì anu liste attive
– Paga u gasu per sguassà currettamente
– Aduprate https://t.co/a7eWHJi1O1 o https://t.co/Tm7MF9ej3Y per revocàQuesta hè una lacuna in corso. Per piacè sparte l'infurmazioni!
– OKHotshot.eth (@NFTherder) 24 di ghjennaghju di u 2022
È Novum Insights hà pruduttu una spiegazione chì descrive cumu funziona u bug.
Eccu cumu funziona u bug:
Quandu l'utilizatori delist un NFT per a vendita, anu da pagà una "tassa di gas" per rinvià u token à a billetera di u pruprietariu. Ricertamenti, l'utilizatori anu scupertu chì trasferendu a so NFT à un altru indirizzu ETH, l'NFT apparentemente esse delisted senza pagà gas. Tuttavia, questu solu elimina a lista NFT da u front-end di a piattaforma (l'interfaccia d'utilizatore di u mercatu).
L'opportunisti anu scupertu prestu chì, se l'NFT in questione hè statu mai rimandatu à a billetera ETH originale, puderia ancu esse acquistatu in Rarible, postu chì a tarifa di delisting di gas ùn hè mai stata pagata in OpenSea. A più impurtante, u bug face chì u cuntrattu di OpenSea scrape u prezzu di u listinu originale di NFT cum'è u prezzu di u listinu attuale – questu hè ciò chì hà causatu u BAYC NFT citatu sopra per esse acquistatu per menu di $ 2,000.
U sabbatu (22 di ghjennaghju), OpenSea hà aghjustatu una nova funzione chì dumanda à l'utilizatori di cunfirmà s'ellu sò sicuri chì volenu procederà quandu una lista hè fatta assai sottu à u prezzu di u pianu di una cullezzione. Mentre chì questu ùn indirizza micca direttamente u bug, riduce a probabilità di vende NFT per errore.
Sfortunatamente, ancu questu ùn hà micca risoltu u prublema. U mondu hè sempre aspittendu à sente da OpenSea nantu à u prublema.
Tyler Durden Lun, 24/01/2022 – 22:50
Questa hè una traduzzione automatica da l’inglese di un post publicatu nantu à ZeroHedge à l’URL https://www.zerohedge.com/markets/opensea-bug-allows-hackers-steal-more-1-million-nfts u Mon, 24 Jan 2022 19:50:00 PST.