一名于去中心化金融平台Orbs任职的软件工程师Rotem Yakir,以及英国的区块链分析企业Elliptic,在本周一(1/24)披露了全球最大非同质化代币(Non-Fungible Token,NFT)市场OpenSea含有一个bug,允许黑客通过OpenSea API,以低于市价的价格购买该平台上所销售的NFT,目前有3名黑客已成功地以不到15万美元的价格,购买市值超过100万美元的NFT。
OpenSea现为全球最大的NFT交易市场,目前集结了超过2,400万个NFT作品,上个月完成的C轮增资显示该平台的市值已达到133亿美元,足足是去年7月的8倍。
不过,Yakir本周踢爆,OpenSea含有一个毁灭性的漏洞,它允许用户在更新NFT产品列表及价格时不必删除旧有的资料,使得这些旧资料依然保留于区块链上,而让黑客得以通过OpenSea API以旧有价格买下该NFT,并快速转手,而Elliptic则发现,已有至少3名黑客在24小时内开采该bug。
Elliptic则说,其实几周前就传出该OpenSeabug,但一直到本周一才看到实际的开采行动,当天一早就有一名黑客以0.77个以太币(1,800美元)买下了Bored Ape Yacht Club NFT #9991,但Bored Ape Yacht Club家族的NFT售价至少都要19.8万美元左右,而且该名黑客很快就以84.2个以太币(19.6万美元)转售该NFT,马上就获利19.4万美元。
图片来源/Elliptic
另外一名黑客也在周一以13.3万美元买下了7个NFT,并快速以价值93.4万美元的以太币将它们抛售,数小时之内就将相关的以太币通过Tornado Cash服务混币,以避免遭到关注,不到一天就获利80万美元。
还有一名黑客是以1.06万美元的价格买下了Mutant Ape Yacht Club NFT,数小时后就将它以3.48万美元脱手。
上述黑客在一天之内,便以不到15万美元的成本,利用OpenSea的bug获利近100万美元。
至截稿前OpenSea尚未公开回应此事,而Yakir则建议OpenSea平台的用户应尽快将自己拥有的NFT,转移到没有任何旧产品列表的新钱包中。