OpenSea बग बड़े पैमाने पर NFT नुकसान की ओर ले जाता है

हैकर्स ने ओपनसी प्लेटफॉर्म में एक मौजूदा बग का फायदा उठाते हुए एक मिलियन डॉलर से अधिक मूल्य के कई एनएफटी को छह अंकों की भारी छूट पर खरीदा। 

Elliptic OpenSea पर NFT के नुकसान की रिपोर्ट करता है

कई वॉलेट में एनएफटी को हैक में लक्षित किया गया था, जहां हमलावर मालिकों को बताए बिना पहले सूचीबद्ध कीमतों पर उन्हें खरीदने में सक्षम थे। OpenSea ने अभी तक हमले के बारे में कोई टिप्पणी या घोषणा नहीं की है, जिसे पहली बार ब्लॉकचेन एनालिटिक्स कंपनी Elliptic द्वारा देखा और रिपोर्ट किया गया था। 

एलिप्टिक के मुख्य वैज्ञानिक और सह-संस्थापक टॉम रॉबिन्सन के अनुसार

"यह शोषण इस तथ्य से आता है कि पिछली लिस्टिंग को रद्द किए बिना, एक नई कीमत पर एनएफटी को फिर से सूचीबद्ध करना संभव था। उन पुरानी लिस्टिंग का उपयोग अब अतीत में निर्दिष्ट कीमतों पर एनएफटी खरीदने के लिए किया जा रहा है - अक्सर मौजूदा बाजार कीमतों से काफी नीचे।

एनएफटी छीनने के लिए बग का शोषण

इस बग का फायदा उठाकर चुराए गए एनएफटी में से एक बोरेड एप #9991 लोकप्रिय बोरेड एप यॉट क्लब संग्रह से था। एनएफटी को 0.77 ईटीएच (करीब 1747 डॉलर) में खरीदा गया था, जो ऊब गए एप एनएफटी के लिए काफी कम कीमत है, जो आमतौर पर सैकड़ों हजारों डॉलर में बिकता है। हालांकि, बिक्री के समय मालिक को इस बात की जानकारी नहीं थी कि एनएफटी को इतनी कम राशि के लिए सूचीबद्ध किया गया था। इसके तुरंत बाद, उसी NFT को 84.2 ETH (लगभग $189,040) में बेचा गया, जिससे $187,000 से अधिक का महत्वपूर्ण लाभ हुआ। 

सीईओ रॉबिन्सन ने इस तरह से चोरी किए गए कुल आठ एनएफटी की ओर इशारा किया है। मूल पर्स सभी अलग थे, जबकि कुल हमलावर पर्स सिर्फ तीन थे। एक अन्य हमलावर वॉलेट $133,000 में सात एनएफटी हासिल करने में सक्षम था, जबकि तीसरे ने 23 ईटीएच के लिए एक और बोरेड एप एनएफटी हासिल किया। 

यह बग कैसे बनाया जाता है? 

एक ट्विटर थ्रेड में, सॉफ्टवेयर डेवलपर रोटेम याकिर ने संक्षेप में बताया है कि एनएफटी स्मार्ट कॉन्ट्रैक्ट्स में उपलब्ध जानकारी और ओपनसी के यूजर इंटरफेस द्वारा प्रस्तुत जानकारी के बीच एक बेमेल से बग कैसे बनाया गया था। अंततः, बग हमलावरों को पुराने अनुबंध मूल्यों तक पहुँचने देता है जो अभी भी ब्लॉकचेन पर मौजूद हैं लेकिन OpenSea एप्लिकेशन पर देखने से अवरुद्ध हैं। OpenSea पर संभावित खरीदार NFT मालिक द्वारा निर्धारित दृश्यमान "सूची मूल्य" पर बोली लगाते हैं। एक बार जब कोई खरीदार सूची मूल्य स्वीकार कर लेता है, तो एनएफटी का स्वामित्व स्वतः ही उन्हें हस्तांतरित कर दिया जाता है। 

बग तब पैदा होता है जब मालिक अपने एनएफटी को अधिक कीमत पर फिर से सूचीबद्ध करना चाहते हैं लेकिन पहली लिस्टिंग को रद्द करने के लिए गैस शुल्क का भुगतान नहीं करना चाहते हैं। इसलिए इसके बजाय, वे एनएफटी को दूसरे वॉलेट में और फिर वापस मूल वॉलेट में ट्रांसफर कर देते हैं। ऐसा करने से OpenSea के फ्रंट-एंड से लिस्टिंग हट जाती है। हालाँकि, मूल सूची ब्लॉकचेन पर सक्रिय रहती है और इसे OpenSea API के माध्यम से पाया जा सकता है। 

यह ध्यान रखना दिलचस्प है कि इस बग को दिसंबर 2021 में खोजा गया था। इसके अलावा, जनवरी 2022 में भी, एक ट्विटर थ्रेड ने इस पद्धति के साथ एनएफटी की जबरन बिक्री पर प्रकाश डाला। हालाँकि, उस समय OpenSea द्वारा कोई निवारक कार्रवाई नहीं की गई थी।

अस्वीकरण: यह लेख केवल सूचना के उद्देश्यों के लिए प्रदान किया गया है। यह कानूनी, कर, निवेश, वित्तीय, या अन्य सलाह के रूप में इस्तेमाल करने की पेशकश या इरादा नहीं है।