OpenSea betaalt gebruikers $1.8 miljoen in Ethereum terug na misbruik exploit

Naar verluidt heeft de populaire NFT-marktplaats OpenSea 750 Ethereum (ETH) (momenteel circa $1.8/€1.6 miljoen) terugbetaald aan gebruikers die getroffen zijn nadat er misbruik gemaakt werd van een exploit. Zo konden diverse NFT’s verkocht worden voor onder hun huidige marktprijs.

Misbruik maken van kwetsbaarheid

Diverse populaire NFT’s, waaronder die van de ‘Bored Ape Yacht Club’ (BAYC)-collectie, werden na het misbruiken van een kwetsbaarheid in het systeem verkocht worden voor hun oude, goedkopere aanbiedingsprijzen. Vervolgens konden ze wel voor de originele prijs verkocht worden, waardoor de hackers eenvoudig winst konden maken.

Door de exploit werden de vermeldingen nooit officieel op de blockchain geannuleerd, terwijl de gebruikersinterface van OpenSea aangaf dat dit wel het geval was.

Dit kon gebeuren doordat technisch onderlegde kopers diensten zoals Tornado Cash gebruikt hebben om geld naar crypto-wallet-adressen te leiden, zonder hiervoor de bron bekend te maken. Deze fondsen konden vervolgens gebruikt worden om NFT’s te kopen tegen oude noteringsprijzen.

Wil jij Ethereum verhandelen op 1 van de grootste en meest betrouwbare exchanges ter wereld? Klik hier en ga naar KuCoin.

Exploit is niet nieuw

De exploit waar nu gebruik van gemaakt is blijkt niet nieuw te zijn. De blockchain van Ethereum vereist namelijk dat gebruikers een gasvergoeding betalen om transacties uit te voeren. Deze gasvergoeding wordt ook betaald om noteringen op onder andere OpenSea te annuleren die nog niet verlopen is.

Dit heeft ervoor gezorgd dat OpenSea selecteerbare vervaldatums op hun platform geïmplementeerd heeft. Hiervoor hadden veel houders van NFT’s echter zogenoemde inactieve lijsten, waar geen vervaldatum aan gekoppeld was. Deze noteringen moesten hiermee handmatig geannuleerd worden, tegen een te betalen gasvergoeding. Deze inactieve lijsten vormen een risico voor de gebruikers.

Maas in de wet

Om onder ander deze gasvergoedingen te vermijden, is er een maas in de wet gevonden. Wanneer NFT’s overgezet worden naar een secundaire wallet en deze vervolgens naar de oorspronkelijke wallet verstuurd worden, dan verdween de melding in de gebruikersinterface van OpenSea.

Waar de vermelding wel in de gebruikersinterface verdween, verdween deze niet binnen de ETH-blockchain. In werkelijkheid werd de vermelding in plaats van ‘actief’ simpelweg op ‘inactief’ geplaatst. Deze inactieve lijsten kunnen op hun beurt gewoon gekocht worden door blockchain-experts die rechtstreeks met slimme contracten communiceren. Hier ging het dan ook mis voor veel gebruikers, waarna zij slachtoffer werden van de kwetsbaarheid.

Nu heeft een deel van de gebruikers dus te horen gekregen dat zij (een deel van) hun verlies van het platform zouden terugkrijgen, in Ethereum. Dit wordt over het algemeen goed opgevangen door de crypto-community. Verder heeft het bedrijf een waarschuwing gestuurd naar eigenaren van NFT’s ter betrekking tot inactieve vermeldingen. Hierover zieden ze het volgende:

“Onderneem alstublieft dringend actie om inactieve vermeldingen te annuleren, mocht dit niet al gebeurt zijn.”