Manteisiodd hacwyr ar fyg a oedd yn bodoli eisoes yn y platfform OpenSea i brynu NFTs lluosog gwerth dros filiwn o ddoleri ar ostyngiadau chwe ffigur syfrdanol.
Adroddiadau Elliptic Colled NFT Ar OpenSea
Targedwyd NFTs ar draws waledi lluosog yn yr hac, lle roedd yr ymosodwyr yn gallu eu prynu am brisiau a restrwyd yn flaenorol heb ollwng y perchnogion. Nid yw OpenSea wedi gwneud sylw na chyhoeddiad eto ynghylch yr ymosodiad, a sylwodd ac adroddwyd arno gyntaf gan gwmni dadansoddeg blockchain Elliptic.
Yn ôl prif wyddonydd a chyd-sylfaenydd Elliptic, Tom Robinson
“Mae’n ymddangos bod y camfanteisio’n deillio o’r ffaith ei bod yn bosibl yn flaenorol ail-restru NFT am bris newydd, heb ganslo’r rhestriad blaenorol. Mae’r hen restrau hynny bellach yn cael eu defnyddio i brynu NFTs am brisiau a nodwyd yn y gorffennol – yn aml ymhell islaw prisiau cyfredol y farchnad.”
Camfanteisio ar Fyg I Gipio NFTs
Un o'r NFTs a gafodd ei ddwyn trwy ecsbloetio'r byg hwn oedd Bored Ape #9991 o gasgliad poblogaidd Clwb Hwylio Bored Ape. Prynwyd yr NFT am 0.77 ETH (tua $1747), pris hynod o isel ar gyfer NFT Bored Ape, sydd fel arfer yn gwerthu am gannoedd o filoedd o ddoleri. Fodd bynnag, nid oedd y perchennog ar adeg y gwerthiant yn ymwybodol bod NFT wedi'i restru ar gyfer swm pêl isel o'r fath. Yn fuan wedi hynny, gwerthwyd yr un NFT am 84.2 ETH (tua $189,040), gan gyfrif am elw sylweddol o dros $187,000.
Mae'r Prif Swyddog Gweithredol Robinson wedi tynnu sylw at gyfanswm o wyth NFT sydd wedi'u dwyn yn y modd hwn. Roedd y waledi gwreiddiol i gyd yn wahanol, tra bod cyfanswm waledi'r ymosodwyr yn dri yn unig. Llwyddodd waled ymosodwr arall i gaffael saith NFTs am $ 133,000, tra bod traean un wedi caffael NFT Bored Ape arall am 23 ETH mesurol.
Sut Mae'r Byg Hwn yn cael ei Greu?
Mewn edefyn Twitter, mae'r datblygwr meddalwedd Rotem Yakir wedi crynhoi sut y crëwyd y byg o ddiffyg cyfatebiaeth rhwng y wybodaeth sydd ar gael mewn contractau smart NFT a'r wybodaeth a gyflwynir gan ryngwyneb defnyddiwr OpenSea. Yn y pen draw, mae'r nam yn gadael i ymosodwyr gael mynediad at hen brisiau contract sy'n dal i fodoli ar y blockchain ond sy'n cael eu rhwystro o'r golwg ar y cais OpenSea. Mae darpar brynwyr ar OpenSea yn gwneud cynnig ar y “pris rhestr” gweladwy fel y'i gosodwyd gan berchennog yr NFT. Unwaith y bydd prynwr yn derbyn y pris rhestr, mae perchnogaeth yr NFT yn cael ei drosglwyddo'n awtomatig iddynt.
Mae'r nam yn cael ei greu pan fydd perchnogion am ail-restru eu NFTs am bris uwch ond nad ydynt am dalu'r ffioedd nwy i ganslo'r rhestriad cyntaf. Felly yn lle hynny, maen nhw'n trosglwyddo'r NFT i waled arall ac yna'n ôl i'r waled wreiddiol. Mae gwneud hyn yn dileu'r rhestriad o ben blaen OpenSea. Fodd bynnag, mae'r rhestriad gwreiddiol yn aros yn weithredol ar y blockchain a gellir ei ddarganfod trwy OpenSea API.
Mae'n ddiddorol nodi bod y byg hwn wedi'i ddarganfod yn ôl ym mis Rhagfyr 2021. Ar ben hynny, hyd yn oed ym mis Ionawr 2022, roedd edefyn Twitter yn taflu goleuni ar werthu gorfodol NFTs gyda'r dull hwn. Fodd bynnag, ni chymerwyd unrhyw gamau ataliol gan OpenSea ar y pryd.
Ymwadiad: Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall.
Ffynhonnell: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea