OpenSea 向因“非活躍列表”漏洞而丟失 NFT 的用戶退還 1.8 萬美元以太坊

OpenSea 現已償還 750 以太坊，約 1.8億美元，針對那些透過涉及「的漏洞」意外以遠低於市場價格出售有價值的 NFT 的用戶不活躍的列表“

近日，幾位領先的用戶 NFT› Marketplace 抱怨稱，他們的藍籌 NFT，例如屬於 Bored Ape Yacht Club (BAYC) 系列的 NFT，是以舊的、廉價的掛牌價格購買的。 這些清單在區塊鏈上從未被取消，儘管 OpenSea 上的使用者介面表明它們已經被取消。

這怎麼發生的？ 精通技術的買家一直在使用 Tornado Cash 等服務將資金存入加密錢包地址，而無需透露來源，並使用這些資金以舊的上市價格購買 NFT。

這種漏洞並不新鮮。 這 以太幣 區塊鏈要求用戶支付 Gas 費來執行交易，包括取消 OpenSea 上尚未過期的清單。 但在 OpenSea 對清單實施可選擇的過期日期之前，許多 NFT 持有者的非活躍清單沒有過期日期，因此需要透過支付 Gas 費手動取消。 過期的清單沒有問題，但不活躍的清單會帶來風險。

為了避免支付以太坊汽油費（單筆交易往往高達數百美元），一些 NFT 所有者發現了一個漏洞。 如果他們將 NFT 轉移到第二個錢包，然後又轉移回第一個錢包，該清單就會在 OpenSea UI 上消失。 

但實際上，上市只是從「活躍」變成了「不活躍」。 區塊鏈專家仍然可以購買不活躍的列表，他們直接與智能合約本身交互，而不是 OpenSea 的 UI。 

作為回應，OpenSea 在其桌面網站上推出了「非活動清單」功能 24年一月。 他們沒有回應 解碼之前的評論請求。 

本週早些時候，OpenSea 告知一些 BAYC 持有者，他們將因損失而獲得一些以太坊退款。 Tballer 表示，他以 9991 ETH（約 0.77 美元）的價格丟失了 Ape #1,700 解碼 25 月 XNUMX 日，他覺得 OpenSea 的回應“相當緩慢”，但“很高興他們回覆了我”。 

「[NFT] 社區幫助我度過了難關，」Tballer 說道 解碼。 “事情發生的那天晚上，我差點就回家賣掉所有東西了。” 

Tballer's Ape 現在似乎屬於 胡安·弗德茲，他買了兩隻無意中被賣掉的猩猩。 Fdez 還持有 BAYC #8924，該幣已被盜取 6.66 ETH（約 17,000 美元）。 Fdez沒有回應 解碼的評論請求。

如果 Tballer 想要回他的 Ape，他必須支付 130 ETH（330,000 萬美元）。

26 月 XNUMX 日，OpenSea 向包含非活躍清單的 NFT 所有者發送了一封電子郵件，告訴他們“請立即採取行動，取消任何非活躍清單。”

正如 NFT 收藏家 Dingaling 在一份報告中指出的那樣，這些指示引發了一些擔憂 冗長的Twitter主題 這封電子郵件「對他們來說極度不負責任，讓事情變得更糟 100 倍」。 這實際上使得漏洞利用變得更容易執行。”

透過簡單地告訴用戶在 OpenSea 網站上一一取消不活躍的列表，它實際上允許攻擊者在其他不活躍的列表上執行購買。 例如，Mutant Ape Yacht Club 持有者 Swolfchan 將其 Ape 保留在主錢包中，並取消了 15 ETH 的非活躍清單。 之後，他們計劃取消 6 ETH 的上市。 

但在 Swolfchan 取消第一個非活躍清單並轉移到第二個清單之間的時間裡，一名剝削者以 6 ETH 的價格購買了他們的 Ape。 

Dingaling 解釋說，如果 Swolfchan 將 Ape 轉移到另一個錢包，然後取消所有列表，然後將 Ape 移回主錢包，他們就會安全。 但 OpenSea 似乎並未在其最初的電子郵件中提供這些說明。

開放海聯合創辦人 亞歷克斯·阿塔拉（Alex Atallah） 27 月 1 日告訴 Dingaling，「解決這個問題是我們公司的第一要務。 我們有一個團隊正在研究這個問題，現在正在製定對策。”

至於這些解決方案可能是什麼，Ledger 首席技術長 Charles Guillemet 有一些想法：「不同的設計本來可以避免這樣的問題，」他告訴我們。 解碼。 Guillemet 認為 OpenSea 的 UI 對使用者來說應該更加清晰。 「轉移 NFT 不應該從 UI 中刪除賣單，」他說。