OpenSea ahora ha reembolsado 750 Ethereum, aproximadamente 1.8 millones de dólares, a los usuarios que accidentalmente vendieron NFT valiosos a una tasa muy por debajo de su precio actual de mercado a través de un exploit que involucraba "listados inactivos."
Recientemente, varios usuarios de los principales NFT› El mercado se había quejado de que sus NFT de primer nivel, como los pertenecientes a la colección Bored Ape Yacht Club (BAYC), se habían comprado a precios de lista antiguos y baratos. Estos listados nunca se cancelaron en la cadena de bloques, aunque la interfaz de usuario de OpenSea sugería que lo habían hecho.
¿Cómo pasó esto? Los compradores expertos en tecnología han estado utilizando servicios como Tornado Cash para canalizar dinero a direcciones de monederos criptográficos sin revelar la fuente y utilizando esos fondos para comprar NFT a los precios de cotización anteriores.
Este exploit no es nuevo. El Ethereum blockchain requiere que los usuarios paguen una tarifa de gas para ejecutar transacciones, incluida la cancelación de una cotización en OpenSea que aún no haya vencido. Pero antes de que OpenSea implementara fechas de vencimiento seleccionables en los listados, muchos titulares de NFT tenían listados inactivos que no tenían fecha de vencimiento y, por lo tanto, requerían la cancelación manual a través de una tarifa de gas pagada. Las listas vencidas están bien, pero las listas inactivas representan un riesgo.
En un esfuerzo por evitar pagar las tarifas de gas de Ethereum, que a menudo pueden ascender a cientos de dólares por una sola transacción, algunos propietarios de NFT encontraron una laguna. Si transfirieron el NFT a una billetera secundaria y luego volvieron a la primera billetera, la lista desapareció en la interfaz de usuario de OpenSea.
Pero en realidad, la lista simplemente había pasado de "activo" a "inactivo". Y los listados inactivos aún pueden ser comprados por expertos en blockchain que interactúan directamente con los propios contratos inteligentes, no con la interfaz de usuario de OpenSea.
En respuesta, OpenSea implementó una función de "listas inactivas" en su sitio de escritorio en 24 de enero. no respondieron a Descifrarsolicitud previa de comentarios.
OpenSea les dijo a algunos titulares de BAYC a principios de esta semana que se les reembolsaría algo de Ethereum por su pérdida. Tballer, que perdió Ape #9991 por 0.77 ETH (alrededor de $1,700), dijo Descifrar el 25 de enero que sintió que recibió una "respuesta bastante lenta" de OpenSea pero que estaba "feliz de que me respondieran".
“La comunidad [de NFT] me ayudó a superar esto”, dijo Tballer. Descifrar. “La noche que sucedió estaba bastante cerca de ir a casa y vender todo”.
El mono de Tballer ahora parece pertenecer a Juan Fdez, que compró dos de los monos que se vendieron sin darse cuenta. Fdez también posee el BAYC #8924, que había sido robado por 6.66 ETH (alrededor de $17,000 XNUMX). Fdez no respondió a DescifrarSolicitud de comentario.
Si Tballer quiere recuperar su Ape, tendrá que pagar 130 ETH ($330,000).
El 26 de enero, OpenSea envió un correo electrónico a los propietarios de NFT con listados inactivos diciéndoles que "actúen con urgencia para cancelar cualquier listado inactivo".
Estas instrucciones generaron algunas preocupaciones, como argumentó el coleccionista de NFT Dingaling en un largo hilo de Twitter que el correo electrónico fue "increíblemente irresponsable de su parte y empeora las cosas 100 veces". En realidad, esto hace que el exploit sea mucho más fácil de ejecutar”.
1/ ADVERTENCIA: ¿NO CANCELE SUS LISTADOS DE SO COMO SE INDICA EN EL CORREO ELECTRÓNICO QUE OPENSEA ACABA DE ENVIAR?
PRIMERO transfiera su NFT a una dirección diferente y cancele los listados en la dirección original ANTES de devolverlo
¿El sistema operativo simplemente puso a todos en un riesgo aún mayor que antes?
- dingaling (@dingalingts) Enero 27, 2022
Al simplemente decirles a los usuarios que cancelaran los listados inactivos uno por uno en el sitio web de OpenSea, en realidad permitió a los explotadores ejecutar compras en otros listados inactivos. Por ejemplo, el titular de Mutant Ape Yacht Club, Swolfchan, mantuvo su Ape en su billetera principal y canceló una cotización inactiva de 15 ETH. Después de eso, planearon cancelar una lista de 6 ETH.
Pero entre el tiempo que le tomó a Swolfchan cancelar la primera lista inactiva y pasar a la segunda, un explotador compró su Ape por el precio de 6 ETH.
Dingaling explicó que si Swolfchan transfirió el Ape a otra billetera, luego canceló todos los listados y luego movió el Ape de regreso a la billetera principal, habrían estado a salvo. Pero OpenSea no pareció proporcionar estas instrucciones en su correo electrónico inicial.
co-fundador de OpenSea Alex Atallah le dijo a Dingaling el 27 de enero que “arreglar este problema es la prioridad número 1 de nuestra compañía. Tenemos un equipo trabajando en ello y poniendo una contramedida ahora”.
En cuanto a cuáles podrían ser esas soluciones, el CTO de Ledger, Charles Guillemet, tiene algunas ideas: "Un diseño diferente podría haber evitado ese problema", dijo. Descifrar. Guillemet argumenta que la interfaz de usuario de OpenSea debería haber sido más clara para los usuarios. "Transferir el NFT no debería eliminar la orden de venta de la interfaz de usuario", dijo.
Fuente: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit