A OpenSea já reembolsou 750 Ethereum, cerca de $ 1.8 milhões, para usuários que acidentalmente venderam NFTs valiosas bem abaixo da taxa de mercado atual por meio de uma exploração envolvendo “listagens inativas. "
Recentemente, vários usuários dos principais NFT› O mercado reclamou que seus NFTs blue chip, como os pertencentes à coleção Bored Ape Yacht Club (BAYC), foram comprados a preços de lista antigos e baratos. Essas listagens nunca foram canceladas no blockchain, mesmo que a interface do usuário no OpenSea sugerisse que sim.
Como isso aconteceu? Compradores experientes em tecnologia têm usado serviços como o Tornado Cash para canalizar dinheiro em endereços de carteira de criptomoedas sem divulgar a fonte e usar esses fundos para comprar NFTs a preços de lista antigos.
Esta exploração não é nova. O Ethereum blockchain exige que os usuários paguem uma taxa de gás para executar transações, incluindo o cancelamento de uma listagem no OpenSea que ainda não expirou. Mas antes que a OpenSea implementasse datas de vencimento selecionáveis nas listagens, muitos detentores de NFT tinham listagens inativas que não tinham data de vencimento e, portanto, exigiam cancelamento manual por meio de uma taxa de gás paga. As listagens expiradas são boas, mas as listagens inativas representam um risco.
Em um esforço para evitar o pagamento de taxas de gás Ethereum, que muitas vezes podem chegar a centenas de dólares por uma única transação, alguns proprietários de NFT encontraram uma brecha. Se eles transferissem o NFT para uma carteira secundária e depois voltassem para a primeira carteira, a listagem desapareceria na interface do usuário do OpenSea.
Mas, na realidade, a listagem simplesmente passou de “ativa” para “inativa”. E listagens inativas ainda podem ser compradas por especialistas em blockchain que interagem diretamente com os próprios contratos inteligentes, não com a interface do usuário do OpenSea.
Em resposta, a OpenSea lançou um recurso de “listagens inativas” em seu site para desktop em Janeiro 24. Eles não responderam Descifrarpedido anterior de comentário de.
Alguns detentores de BAYC foram informados pela OpenSea no início desta semana que eles seriam reembolsados em algum Ethereum por sua perda. Tballer, que perdeu o Ape #9991 por 0.77 ETH (cerca de US$ 1,700), disse Descifrar em 25 de janeiro, ele sentiu que recebeu uma “resposta bastante lenta” da OpenSea, mas ficou “feliz por eles terem me retornado”.
“A comunidade [NFT] me ajudou com isso”, disse Tballer Descifrar. “Na noite em que aconteceu, eu estava bem perto de ir para casa e vender tudo.”
Macaco de Tballer agora parece pertencer a Juan Fdez, que comprou dois dos Macacos que foram vendidos inadvertidamente. Fdez também detém o BAYC #8924, que foi roubado por 6.66 ETH (cerca de US$ 17,000). Fdez não respondeu Descifrarpedido de comentários.
Se Tballer quiser seu Ape de volta, ele terá que pagar 130 ETH (US$ 330,000).
Em 26 de janeiro, a OpenSea enviou um e-mail aos proprietários de NFT com listagens inativas dizendo-lhes que “atuem com urgência para cancelar quaisquer listagens inativas”.
Essas instruções despertaram algumas preocupações, como argumentou o colecionador de NFT Dingaling em um longo segmento do Twitter que o e-mail foi “incrivelmente irresponsável da parte deles e torna as coisas 100 vezes piores. Isso realmente torna a exploração muito mais fácil de executar.”
1/ AVISO: NÃO CANCELE SUAS LISTAS DE SO CONFORME INDICADO NO EMAIL QUE A OPENSEA ACABOU DE ENVIAR??
Por favor, PRIMEIRO transfira seu NFT para um endereço diferente e cancele a(s) lista(s) no endereço original ANTES de enviá-lo de volta
OS acabou de colocar todos em risco ainda mais do que antes?
— dingalingts (@dingalingts) 27 de janeiro de 2022
Ao simplesmente dizer aos usuários para cancelarem as listagens inativas uma a uma no site da OpenSea, ele realmente permitiu que os exploradores executassem compras em outras listagens inativas. Por exemplo, o titular do Mutant Ape Yacht Club, Swolfchan, manteve seu Ape em sua carteira principal e cancelou uma listagem inativa de 15 ETH. Depois disso, eles planejaram cancelar uma listagem de 6 ETH.
Mas entre o tempo que levou Swolfchan para cancelar a primeira lista inativa e passar para a segunda, um explorador comprou seu Ape pelo preço de 6 ETH.
Dingaling explicou que, se Swolfchan transferisse o Ape para outra carteira, cancelasse todas as listagens e depois voltasse o Ape para a carteira principal, eles estariam seguros. Mas a OpenSea não parecia fornecer essas instruções em seu e-mail inicial.
Cofundador da OpenSea Alex Atallah disse a Dingaling em 27 de janeiro que “consertar esse problema é nossa prioridade número 1 da empresa. Temos uma equipe trabalhando nisso e colocando uma contramedida agora.”
Quanto a quais poderiam ser essas soluções, o CTO da Ledger, Charles Guillemet, tem algumas ideias: “Um design diferente poderia ter evitado esse problema”, disse ele. Descifrar. Guillemet argumenta que a interface do usuário no OpenSea deveria ter sido mais clara para os usuários. "A transferência do NFT não deve remover a ordem de venda da interface do usuário", disse ele.
Fonte: https://decrypt.co/91513/opensea-refunds-ethereum-users-lost-nfts-inactive-listing-exploit