Ошибка при повторном листинге на OpenSea позволила хакерам украсть NFT на сумму не менее $1,3 млн. ETH, вырученные от продажи ворованных NFT, уже потекли в миксер Tornado Cash.
Более $1,3 млн украли злоумышленники с NFT-маркетплейса OpenSea, воспользовавшись критической уязвимостью платформы. Ошибка в программе позволила им купить дорогостоящие NFT за бесценок и перепродать их гораздо дороже. Взлом произошел 24 января, затронуты как минимум восемь ценных NFT.
Купить подешевле, продать подороже
Первоначальный анализ показал, что платформу взломали три хакера, один из них известен по ником «jpegdegenlove». Они похитили NFT из серий Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats и Cyberkongz. Например, NFT № 9991 из серии Bored Ape Yacht Club был куплен за $1 800, а перепродан за $196 000.
После продажи NFT злоумышленники отправили вырученные ETH на Tornado Cash, чтобы замести следы. Хакер jpegdegenlove отправил ETH двум жертвам, частично компенсировав им убытки.
Разработчик Orbs Ротем Якир рассказал в твиттере, что ошибка связана с возможностью повторно разместить NFT, не отменяя его предыдущих листингов. Эта уязвимость уже устранена.
«OpenSea — устаревший продукт с медленным, плохим UX, со старым кодом смарт-контрактов, из-за которого трейдерам приходится переплачивать за газ».
Ранее стало известно, что хакеры вывели с OpenSea 332 ETH, воспользовавшись уязвимостью в интерфейсе.
Хакеры переключились на NFT
Злоумышленники обратили внимание на невзаимозаменяемые токены, как на источник легкой наживы. В последнее время участились инциденты, связанные с этими активами. Это неудивительно, учитывая, насколько популярными стали NFT в прошлом году.
Наиболее громкий случай связан с хищением Crypto Apes из OpenSea. После взлома площадка заморозила активы на $2,2 млн. Это решение спровоцировало волну критики в криптосообществе. Действия OpenSea сочли противоречащими духу криптовалют. Еще один коллекционер NFT из серии Bored Ape потерял $1 млн из-за скаммеров в Discord.
Также взломы и хищения происходили на Nifty Gateway. Тренд набирает силу. NFT-маркетплейсам пора задуматься о том, как усилить безопасность.
Согласно правилам Trust Project, BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.
