Хакер #305. Многошаговые SQL-инъекции
СМИ сообщили, что неизвестный злоумышленник воспользовался уязвимостью в бэкэнде крупнейшего NFT маркетплейса OpenSea, чтобы покупать продукты по старым, более низким ценам, а затем перепродавать их дороже.
По данным блокчейн-аналитиков из компании PeckShield, в настоящее время хакер «заработал» таким способом не менее 332 Ethereum (около 745 000 долларов США).
It appears that @opensea has a front-end issue and the exploiter gained about 332 Etherhttps://t.co/35kCB1n7nv
— PeckShieldAlert (@PeckShieldAlert) January 24, 2022
В то же время, по данным аналитиков из компании Elliptic, злоумышленник перепродал таким образом уже семь NFT, и те принесли ему около 934 000 долларов прибыли.
Проблема, связанная с ценами на NFT, исходно была замечена разработчиком DeFi Orbs Ротемом Якиром (Rotem Yakir). Он обнаружил, что пользователи могут выставлять NFT на продажу на OpenSea, а затем отменять объявление, обновлять его и выставлять лот с новой ценой. Проблема в том, что к старому объявлению с изначальное ценой все равно можно было получить доступ через API OpenSea, даже если оно было удалено с самого портала.
У себя в Twitter Якир возложил вину за возникновение бага на разработчиков OpenSea, которые позволяли управлять некоторыми объявлениями, используя настройки on-chain и off-chain, из-за чего некоторые лоты обрабатывались некорректно.
** Urgent ** There is an @opensea devastating bug that will keep old listing and allow exploiters to buy the NFT using their API. Immediate action is to move your NFT to a new wallet or wallet without any previous listing. I will add a ?about it very soon
— Rotem Yakir ? ? (@yakirrotem) January 24, 2022
Вскоре выводы Якира были подтверждены техническим директором криптовалютного кошелька ZenGo, Талом Беери (Tal Be'ery). По словам Беери, неизвестному злоумышленнику удалось «заработать» сразу 100 Ethereum (примерно 225 000 долларов) всего на одном NFT.
3/ immediately afterwards the attacker sells for ~130 ETH for an easy ~100 ETH gain pic.twitter.com/dTyIrwUprL
— Tal Be'ery (@TalBeerySec) January 24, 2022
Один из пострадавших от этой атаки — коллекционер NFT, известный под ником TBALLER. Он пишет в Twitter, что его NFT Bored Ape #9991 была продана по заниженной цене 0,77 ETH (около 1775 долларов США). Почти сразу покупатель под ником jpegdegenlove перепродал NFT за 84,2 ETH, то есть почти за 200 000 долларов США.
«Йооооо, народ! Не знаю, что только что произошло, но мою обезьяну почему-то только что продали за 0,77?????, — писал недоумевающий TBALLER. — Я только что потерял обезьяну, ребята… Я плачу… Как это могло случиться????».
Yooo guys! Idk what just happened by why did my ape just sell for .77?????
— TBALLER.eth (@T_BALLER6) January 24, 2022
Представители OpenSea пока никак не прокомментировали ситуацию, и неясно, была ли решена обнаруженная проблема.
Пока Якир рекомендует всем пользователям OpenSea, обновившим цены в своих объявлениях, переместить NFT в новый кошелек, что предотвратит продажу предмета хакеру по заниженной цене.