beincrypto.ru
Злоумышленники научились перепродавать украденные невзаимозаменяемые токены на торговом маркетплейсе OpenSea
Кибермошенники научились красть невзаимозаменяемые токены (NFT) и перепродавать их прежним владельцам с последующей блокировкой актива. Первым об инциденте сообщил пользователь под ником @franklinisbored у себя в «Твиттере».
По его словам, уязвимостью в политике пользования OpenSea по украденным токенам использовали против него уже дважды за неделю. Как именно злоумышленники смогли похитить NFT у пользователя, неясно. Однако выяснилось, что с помощью функции matchAdvancedOrder злоумышленники могут проводить сделки купли-продажи украденных токенов вопреки запрету в самих маркетплейсах. Более того, OpenSea взимает комиссию за проведение таких сделок даже несмотря на то, что торговая площадка помечает токен как украденный.
Пользователь предположил, что уязвимость кроется именно на стороне OpenSea, поскольку все украденные токены сначала продают на других площадках типа LooksRare и Blur, а уже потом возвращают на OpenSea для перепродажи жертве. На момент написания материала в OpenSea никак не прокомментировали инцидент с перепродажей ворованных NFT.
В конце лета 2022 года маркетплейс внес изменения в политику по борьбе с ворованными NFT. Согласно нововведениям, OpenSea разрешает перепродавать краденые NFT, если правоохранительные органы не уведомят об инциденте в течение семи дней.
В OpenSea утверждают, что изменения помогут бороться с фальшивыми жалобами на кражу NFT. Тогда же в маркетплейсе анонсировали функционал маркировки украденных токенов, который, однако, никак не мешает злоумышленникам перепродавать токены.
Ранее OpenSea уже неоднократно обвиняли в бездействии по борьбе с мошенниками. Например, против площадки подали сразу три иска из-за кражи невзаимозаменяемых токенов коллекции Bored Ape Yacht Club (BAYC). Истцы Тимми МакКимми и Майкл Валис утверждают, что потеряли токены в результате взлома из-за уязвимости в коде OpenSea. Третий истец, Роберт Армихо, утверждает, что потерял NFT в результате социальной инженерии, которой в OpenSea никак не могли помешать.