in

OpenSea rembourse 1,8 million de dollars en Ethereum aux utilisateurs qui ont perdu des NFT à cause de l’exploit de « liste inactive »


OpenSea a maintenant remboursé 750 Ethereum, environ 1,8 million de dollarsaux utilisateurs qui ont accidentellement vendu des NFT de valeur bien en dessous de leur taux de marché en vigueur grâce à un exploit impliquant « annonces inactives.”

Récemment, plusieurs utilisateurs du leader NFT› Le marché s’était plaint que leurs NFT de premier ordre, tels que ceux appartenant à la collection Bored Ape Yacht Club (BAYC), avaient été achetés à d’anciens prix d’inscription bon marché. Ces listes n’ont jamais été annulées sur la blockchain, même si l’interface utilisateur sur OpenSea suggérait qu’elles l’avaient été.

Comment est-ce arrivé? Les acheteurs férus de technologie ont utilisé des services comme Tornado Cash pour canaliser de l’argent dans des adresses de portefeuille crypto sans divulguer la source et utiliser ces fonds pour acheter des NFT aux anciens prix d’inscription.

Cet exploit n’est pas nouveau. le Ethereum blockchain oblige les utilisateurs à payer des frais de gaz pour exécuter des transactions, y compris l’annulation d’une inscription sur OpenSea qui n’a pas encore expiré. Mais avant qu’OpenSea n’implémente des dates d’expiration sélectionnables sur les listes, de nombreux détenteurs de NFT avaient des listes inactives qui n’avaient pas de date d’expiration et nécessitaient donc une annulation manuelle via des frais de gaz payés. Les listes expirées sont acceptables, mais les listes inactives présentent un risque.

Afin d’éviter de payer les frais de gaz Ethereum, qui peuvent souvent atteindre des centaines de dollars pour une seule transaction, certains propriétaires de NFT ont trouvé une échappatoire. S’ils transféraient le NFT vers un portefeuille secondaire, puis vers le premier portefeuille, la liste disparaissait sur l’interface utilisateur OpenSea.

Mais en réalité, la liste était simplement passée de « active » à « inactive ». Et les listes inactives peuvent toujours être achetées par des experts de la blockchain qui interagissent directement avec les contrats intelligents eux-mêmes, et non avec l’interface utilisateur d’OpenSea.

En réponse, OpenSea a déployé une fonctionnalité « listes inactives » sur son site de bureau sur 24 janvier. Ils n’ont pas répondu à Décrypterprécédente demande de commentaire.

Certains détenteurs de BAYC ont été informés par OpenSea plus tôt cette semaine qu’ils seraient remboursés d’Ethereum pour leur perte. Tballer, qui a perdu Ape #9991 pour 0,77 ETH (environ 1 700 $), a déclaré Décrypter le 25 janvier, il a estimé qu’il avait reçu une « réponse plutôt lente » d’OpenSea mais était « heureux qu’ils me soient revenus ».

« Le [NFT] la communauté m’a aidé à traverser cela », a déclaré Tballer Décrypter. « La nuit où c’est arrivé, j’étais sur le point de rentrer chez moi et de tout vendre. »

Le singe de Tballer semble maintenant appartenir à Juan Fdez, qui a acheté deux des singes qui ont été vendus par inadvertance. Fdez détient également BAYC # 8924, qui avait été volé pour 6,66 ETH (environ 17 000 $). Fdez n’a pas répondu à Décrypterdemande de commentaire.

Si Tballer veut récupérer son Ape, il devra payer 130 ETH (330 000 $).

Le singe de Tballer a un nouveau propriétaire.

Le 26 janvier, OpenSea a envoyé un e-mail aux propriétaires de NFT avec des listes inactives leur disant de « veuillez agir de toute urgence pour annuler toute liste inactive ».

Ces instructions ont suscité certaines inquiétudes, comme l’a fait valoir le collectionneur NFT Dingaling dans un long fil Twitter que l’e-mail était « incroyablement irresponsable de leur part et rend les choses 100 fois pires. Cela rend en fait l’exploit beaucoup plus facile à exécuter.

En disant simplement aux utilisateurs d’annuler les listes inactives une par une sur le site Web d’OpenSea, cela permettait en fait aux exploiteurs d’exécuter des achats sur d’autres listes inactives. Par exemple, le détenteur du Mutant Ape Yacht Club, Swolfchan, a conservé son Ape dans son portefeuille principal et a annulé une liste inactive de 15 ETH. Après cela, ils prévoyaient d’annuler une cotation 6 ETH.

Mais entre le temps qu’il a fallu à Swolfchan pour annuler la première liste inactive et passer à la seconde, un exploiteur a acheté son Ape au prix de 6 ETH.

Dingaling a expliqué que si Swolfchan transférait l’Ape dans un autre portefeuille, puis annulait toutes les listes, puis replaçait l’Ape dans le portefeuille principal, ils auraient été en sécurité. Mais OpenSea ne semble pas avoir fourni ces instructions dans son e-mail initial.

Co-fondateur d’OpenSea Alex Atallah a déclaré à Dingaling le 27 janvier que « la résolution de ce problème est la priorité numéro un de notre entreprise. Nous avons une équipe qui travaille dessus et met en place une contre-mesure maintenant.

Quant à ce que pourraient être ces solutions, Ledger CTO Charles Guillemet a quelques idées : « Une conception différente aurait pu éviter un tel problème », a-t-il déclaré. Décrypter. Guillemet soutient que l’interface utilisateur sur OpenSea aurait dû être plus claire pour les utilisateurs. « Le transfert du NFT ne devrait pas supprimer l’ordre de vente de l’interface utilisateur », a-t-il déclaré.



What do you think?

8.8k Points
Upvote Downvote

Le département de police de l’Alabama porte la guerre contre la marijuana à un nouveau niveau

Pourquoi tant de jeux sont annoncés tôt | GB décide