OpenSea ซึ่งเป็นหนึ่งในตลาดซื้อขาย NFT ที่ใหญ่ที่สุด ชดเชยผู้ใช้ที่ได้รับผลกระทบด้วยเงินมากกว่า 1.8 ล้านดอลลาร์ หลังจากพบช่องโหว่ล่าสุดบนแพลตฟอร์ม
ย้อนไปเมื่อวันที่ 24 มกราคม 2022 ผู้ใช้ OpenSea บางคนเห็น NFT อันมีค่าของพวกเขาถูกขายในราคาที่ต่ำที่สุด โดยแฮ็กเกอร์ที่ใช้ประโยชน์จากข้อบกพร่องในกระบวนการ list ของ OpenSea เพื่อซื้อ NFT เหล่านั้นด้วยส่วนลดเกือบ 98% และนำไปขายต่อในราคาสูงขึ้นมาก
ตามรายงานของ Elliptic บริษัทวิเคราะห์บล็อคเชนพบว่า การใช้ประโยชน์จากช่องโหว่ของ OpenSea เป็นผลมาจากข้อบกพร่องในวิธีการจัดการ list สินทรัพย์บนแพลตฟอร์ม
OpenSea นั้นสร้างขึ้นบน Ethereum blockchain ซึ่งขึ้นชื่อเรื่องค่าธรรมเนียมที่ทำร้ายเงินในกระเป๋า ดังนั้น เพื่อลดจำนวนเงินที่ใช้ในการทำธุรกรรม OpenSea จะจัดการฟังก์ชั่นส่วนใหญ่แบบ off-chain จนกว่าธุรกรรมเหล่านั้นจะต้องถูกส่งไปยังบล็อคเชนเพื่อการ settlement
โดยในการ list นั้น ผู้ขาย NFT บนแพลตฟอร์มจะต้องลงนามในข้อมูลแบบ off-chain เพื่อยืนยันจำนวนเงินที่ต้องการขาย NFT ของตน อย่างไรก็ตาม ปัญหาเกิดขึ้นเมื่อผู้ขายตัดสินใจที่จะส่งข้อความไปยังบล็อคเชนเพื่อยกเลิกการ list
เพื่อหลีกเลี่ยงการจ่ายค่าธรรมเนียมที่แสนแพง ผู้ขายเพียงแค่โอน NFT ไปยังกระเป๋าเงินอื่น ซึ่งทำให้ข้อเสนอเริ่มต้นไม่ถูกต้องเนื่องจาก NFT ไม่ได้อยู่ใน OpenSea อีกต่อไป
สิ่งต่าง ๆ มีความซับซ้อนมากขึ้นเมื่อผู้ขายโอนสินทรัพย์กลับไปที่กระเป๋าเงิน OpenSea เมื่อมูลค่าของ NFT เพิ่มขึ้นอย่างมากเมื่อเวลาผ่านไป แต่เนื่องจากกระบวนการ list เริ่มต้นไม่ได้ถูกลบออกจากบล็อคเชน ทำให้ทุกคนสามารถซื้อ NFT ได้ในราคาเริ่มต้น ซึ่งเป็นสิ่งที่ผู้กระทำผิดมองเห็นอย่างแน่นอน และดำเนินการโจมตีโดยใช้บอทเพื่อสแกนในเครือข่ายเพื่อหา NFT ที่มีคำสั่งซื้อที่กำลังรอดำเนินการในระดับต่ำและซื้อมันไป
Elliptic เปิดเผยว่า ได้ระบุผู้โจมตีอย่างน้อย 5 รายที่เกี่ยวข้องกับการเจาะระบบ ซึ่งรวมถึงผู้ใช้ jpegdegenlove ที่ทำเงินได้อย่างน้อย 340 Ether มูลค่ากว่า 800,000 ดอลลาร์ในราคาปัจจุบันจากการใช้ช่องโหว่
หลังจากการใช้ประโยชน์ OpenSea ได้เปิดตัวตัวการจัดการการ list แบบใหม่บนแพลตฟอร์ม ซึ่งช่วยให้ผู้ใช้สามารถตรวจสอบการ list ที่ใช้งานและไม่ได้ใช้งานได้อย่างมีประสิทธิภาพ และมีตัวเลือกในแบบคลิกเดียวเพื่อยกเลิกรายการที่ไม่ใช้งาน
ตลาด NFT ยังได้ติดต่อกับผู้ใช้ที่ได้รับผลกระทบและจ่ายเงินคืนให้กับพวกเขา โดย Robert Garcia พูดคุยกับ Bloomberg โดย Robert เป็นหนึ่งในเหยื่อของการโจมตีกล่าวว่า Mutant Ape NFT ของเขาถูกขายไปในราคา 4.7 Ether (ประมาณ $11,300) ในวันอาทิตย์
Robert ตั้งข้อสังเกตว่าเขาส่งอีเมลถึง OpenSea ทันทีหลังจากมีการขาย และได้รับคำตอบจากพวกเขาในวันพฤหัสบดีที่เสนอเงินคืนให้เขา 13.8 Ether มูลค่ากว่า 35,000 ดอลลาร์ในราคาปัจจุบัน
