Агентство по кибербезопасности PeckShield выявило в интерфейсе платформы для выпуска и торговли NFT OpenSea критическую уязвимость, позволяющую приобретать токены по сильно заниженным ценам.

Бот оповещений в режиме реального времени PekShieldAlert от агентства по кибербезопасности PeckShield выявил критическую уязвимость в интерфейсе OpenSea. В использовании уязвимости уличен пользователь под псевдонимом jpegdegenlove. На текущий момент злоумышленник смог получить 347 ETH на сумму свыше $750 000.

Пользователь Twitter VirtualToast.eth сообщил, что его NFT Bored Ape #8924 был куплен за 6.66 ETH – примерно на 92% меньше текущей минимальной стоимости. Со слов пользователя, ранее он планировал продать Bored Ape #8924 по этой цене, но затем решил отменить торги и отправил NFT на другой кошелек. 

Однако, несмотря на то, что NFT был исключен из списка продаж маркетплейса, фактически заявка на продажу отражалась активной по API ОS. Это позволило злоумышленнику выкупить Bored Ape #8924 по старой цене. Пользователь Twitter The Autist Wizard считает, что преступник целенаправленно выбрал объектами атаки именно владельцев NFT Bored Ape.

Это не первая претензия, направленная пользователями в адрес маркетплейса OpenSea. Ранее было выявлено мошенничество с использованием инсайдерской информации, которая позволяла сотруднику OpenSea скупать наиболее перспективные NFT до их публикации в открытом доступе.