Уязвимость в OpenSea принесла пользователю 347 ETH

Пользователей NFT-маркетплейса OpenSea предупредили об уязвимости, которая позволяет выкупить дорогостоящие токены по заниженным ценам.

BREAKING: Everyone head to https://t.co/nRpSAHivfeand make sure all of your old listings are cancelled. There is currently an exploit on @opensea letting someone buy your NFTs for old listing prices. This is happening right now!!— Hustler (@0xHustler) January 24, 2022

В эксплуатации уязвимости API OpenSea на платформе Rarible уличили пользователя под псевдонимом jpegdegenlove. Согласно Etherscan, махинации принесли ему 347 ETH.

A user named jpegdegenlove on OpenSea is suspected of using the vulnerability to buy low and sell high, making a profit of more than 250 ETH. The NFTs involved include BAYC #9991, BAYC #8924, MAYC #4986, etc. https://t.co/H1IJiZkl2Z https://t.co/cc4djcIWEj pic.twitter.com/3aMpc6mI7H— Wu Blockchain (@WuBlockchain) January 24, 2022

31 декабря 2021 года основатель проекта freshdrops указал на ошибку и призвал OpenSea внести исправления. По его словам, делистинг токена с платформы требует дополнительной платы, размер которой в некоторых случаях достаточно большой, учитывая снижение стоимости коллекции. В дополнении к треду автор отметил, что речь идет о стоимости газа.

1. OS doesn't charge a delisting fee, it's the cost of gas to remove the listing from the blockchain. OS is not pocketing ETH to delist an item.— cap10bad.ΞTH | freshdrops.io (@cap10bad) January 24, 2022

Пользователи нашли выход — при переводе NFT на сторонний кошелек он исчезает из листинга маркетплейса. Однако токен доступен для покупки на Rarible через API OpenSea по старой цене в случае его возврата на исходный кошелек.

При этом freshdrops отметил, что это не ошибка со стороны OpenSea как