Уязвимость в интерфейсе OpenSea позволила злоумышленнику получить 347 ETH

Агентство по кибербезопасности PeckShield выявило в интерфейсе платформы для выпуска и торговли NFT OpenSea критическую уязвимость, позволяющую приобретать токены по сильно заниженным ценам. Бот оповещений в режиме реального времени PekShieldAlert от агентства по кибербезопасности PeckShield выявил критическую уязвимость в интерфейсе OpenSea. В использовании уязвимости уличен пользователь под псевдонимом jpegdegenlove. На текущий момент злоумышленник смог получить 347 ETH на сумму свыше $750 000.

Пользователь Twitter VirtualToast.eth сообщил, что его NFT Bored Ape #8924 был куплен за 6.66 ETH – примерно на 92% меньше текущей минимальной стоимости. Со слов пользователя, ранее он планировал продать Bored Ape #8924 по этой цене, но затем решил отменить торги и отправил NFT на другой кошелек.*

Однако, несмотря на то, что NFT был исключен из списка продаж маркетплейса, фактически заявка на продажу отражалась активной по API ОS. Это позволило злоумышленнику выкупить Bored Ape #8924 по старой цене. Пользователь Twitter The Autist Wizard считает, что преступник целенаправленно выбрал объектами атаки именно владельцев NFT Bored Ape.

Это не первая претензия, направленная пользователями в адрес маркетплейса OpenSea. Ранее было выявлено мошенничество с использованием инсайдерской информации, которая позволяла сотруднику OpenSea скупать наиболее перспективные NFT до их публикации в открытом доступе.

Источник: Bits.media