Hôm thứ Năm, thị trường NFT OpenSea đã chia sẻ rằng họ đã hoàn trả cho người dùng 1,8 triệu đô la sau khi một tính năng trên nền tảng bị khai thác để khiến một số khách hàng tinh vi nhất của nền tảng vô tình bán NFTs có giá trị nhất của họ thấp hơn nhiều so với giá trị thị trường.

Bị sao?

Đầu tuần này, OpenSea phát hiện ra rằng tin tặc đã khai thác một lỗi hệ thống nội bộ để “đánh cắp” NFT trị giá hơn 1 triệu đô la từ các khách hàng tinh vi nhất của nền tảng.

Theo dữ liệu được cung cấp bởi OpenSea, họ đã hoàn trả tổng cộng 750 Ether cho hơn 130 mặt hàng ví, sau phản ứng dữ dội rằng họ đã không giải quyết đúng tính năng giao diện người dùng cho phép các bên thứ ba không xác định mua NFT trị giá hơn 1 triệu đô la với giá chiết khấu. Tính năng cho phép những kẻ cơ hội không rõ lợi dụng lỗ hổng này, ảnh hưởng đến những người dùng đã chuyển NFTs được liệt kê trước đó của họ sang các ví khác mà không hủy danh sách cũ.

Ban đầu được báo cáo bởi công ty bảo mật blockchain, Elliptic, công ty cho biết tin tặc đã khai thác lỗi để khai thác khả năng mua NFT được liệt kê trước đó cực kỳ rẻ với giá niêm yết trước đó, vì vậy họ có thể bán chúng với giá thị trường cao hơn nhiều.

Tuy nhiên, OpenSea đã trả lời rằng đây “không phải là một khai thác hay một lỗi” mà là “… Một vấn đề phát sinh do bản chất của blockchain. OpenSea không thể hủy danh sách thay mặt cho người dùng. Thay vào đó, người dùng phải hủy danh sách của chính họ”. Theo đến ZDNet.

Bây giờ thì sao?

Các nhà nghiên cứu bảo mật từ Elliptic đã có thể xác định ít nhất ba kẻ tấn công đã mua ít nhất tám NFT với giá “thấp hơn nhiều” so với giá trị thị trường của chúng – đặc biệt là tài sản từ một số bộ sưu tập uy tín nhất của ngành bao gồm Bored Ape Yacht Club (BAYC), Cool Cats và Mutant Ape Yacht Club.

Một trong những kẻ tấn công được xác định, người có bút danh ‘jpegdegenlove’ bị cáo buộc đã trả 133.000 đô la cho bảy NFT và sau đó bán chúng trên nền tảng này với giá 934.000 đô la – tăng gấp bảy lần trong vòng chưa đầy một ngày.

Kể từ khi vấn đề này được báo cáo lần đầu tiên vào đầu tuần này, OpenSea đã thông báo qua Twitter rằng họ đã thêm tab “Danh sách” trên hồ sơ của người dùng cho phép họ xem xét cả danh sách hoạt động và không hoạt động của các mặt hàng NFT của họ.

🚨 DANH SÁCH KHÔNG HOẠT ĐỘNG 🚨
Một danh sách không hoạt động là danh sách NFT của bạn mà không bao giờ bị hủy bỏ và vẫn có thể thực hiện được.
🔧 CÁCH KHẮC PHỤC
Đi đến tab LISTINGS mới trong hồ sơ của bạn để xem và hủy danh sách không hoạt động.
Tìm hiểu thêm ↯ https://t.co/fOJSRdrbfh pic.twitter.com/Rp2ojYYSSq
— Hỗ trợ OpenSea (@opensea_support) 26 Tháng một, 2022

Nguồn: Twitter

Công ty cũng đã công bố vòng tài trợ Series C trị giá 300 triệu đô la vào đầu tháng này, nâng giá trị tổng thể của công ty lên ít nhất 13,3 tỷ đô la, khiến các sự cố như thế này không chỉ tốn kém – mà còn gây bất lợi cho tuổi thọ, an ninh và thành công trong tương lai của công ty.