Biztonsági rés tátong az OpenSea, az egyik legismertebb NFT-bolt kódjában. A hiba lehetővé teszi, hogy az NFT-ke jelentősen olcsóbban, a kibocsátó kárára vásárolják meg. Ezzel egyes esetekben több százezer dollárt is spórolhatnak a hackerek a drága majmos – és egyéb sorozatban generált állatos – képek megvásárlásakor – írja a Verge.
A helyzeten ront egy keveset, hogy a hiba nem igazán új. Már január elsején is beszéltek róla a Twitteren, de igazán népszerűvé csak mostanra vált. Az Elliptic blockchain analitikai cég szerint január 24-ének reggelén nyolc alkalommal próbáltak meg, összesen 1 millió dollár értékű NFT-t megvenni a sebezhetőséget kihasználva.
Egy drága pixelmajmot 1760 dollár értékű etherért vettek meg, majd gyorsan tovább is adták 192 ezer dollárért. És ez az elkövető valószínűleg több hasonló akciót is elkövetett, mert az OpenSea-től összesn 904 ezer dollár értékű kriptovaluta érkezett a tárcájába.
A hibát szokás szerint az okosszerződések okozzák. Mást tartalmaznak az NFT-k szerződései és mást mond az OpenSea felhasználói felülete. A támadók pedig olyan öreg szerződéseket használnak fel, amelyeket már nem lehet megtalálni az OpenSea felületén, de még működnek. A támadók egy nem meghirdetett listaáron vásárolnak, tranzakciós költségek nélkül mozgatják az NFT-t, és újra eladják a jószágot. Mindezt azért tehetik meg, mert az akciót lehetővé tévő okosszerződések bár el vannak dugva, de továbbra is életben vannak. A cég egyelőre nem nyilatkozik arról, hogy mit tervez tenni a lopással felérő vásárlások ellen.
Szólj hozzá