OpenSea اکنون 750 اتریوم، حدود 1.8 میلیون دلار، به کاربرانی که به‌طور تصادفی NFT‌های ارزشمند را با قیمت پایین‌تر از نرخ فعلی خود از طریق یک سوءاستفاده شامل «فهرست‌های غیرفعال» فروخته‌اند، بازپرداخت کرده است.

اخیراً، چندین کاربر از بازار پیشرو NFT شکایت کرده‌اند که NFT‌های تراشه آبی آن‌ها، مانند آن‌هایی که متعلق به مجموعه Bored Ape Yacht Club (BAYC) هستند، با قیمت‌های فهرست قدیمی و ارزان خریداری شده‌اند. این لیست‌ها هرگز در بلاک چین لغو نشدند، حتی اگر رابط کاربری OpenSea نشان داد که این فهرست‌ها لغو شده‌اند.

چگونه این اتفاق افتاد؟ خریداران متبحر فناوری از خدماتی مانند Tornado Cash برای قیف کردن پول به آدرس‌های کیف پول کریپتو بدون افشای منبع استفاده می‌کنند و از آن وجوه برای خرید NFT با قیمت‌های فهرست قدیمی استفاده می‌کنند.

این اکسپلویت جدید نیست. بلاک چین اتریوم از کاربران می‌خواهد برای انجام تراکنش‌ها، از جمله لغو فهرستی در OpenSea که هنوز منقضی نشده است، هزینه گاز بپردازند. اما قبل از اینکه OpenSea تاریخ‌های انقضای قابل انتخاب را در فهرست‌ها پیاده‌سازی کند، بسیاری از دارندگان NFT فهرست‌های غیرفعالی داشتند که تاریخ انقضا نداشتند و بنابراین نیاز به لغو دستی از طریق هزینه گاز پرداختی داشتند. لیست های منقضی شده خوب هستند، اما لیست های غیرفعال یک خطر هستند.

در تلاش برای جلوگیری از پرداخت هزینه های گاز اتریوم، که اغلب برای یک تراکنش به صدها دلار می رسد، برخی از دارندگان NFT یک راه گریز پیدا کردند. اگر NFT را به یک کیف پول ثانویه منتقل کنند و سپس به کیف پول اول برگردند، لیست در رابط کاربری OpenSea ناپدید می شود.

اما در واقعیت، فهرست به سادگی از «فعال» به «غیرفعال» تبدیل شده بود. و فهرست‌های غیرفعال را همچنان می‌توان توسط کارشناسان بلاک چین خریداری کرد که مستقیماً با خود قراردادهای هوشمند تعامل دارند، نه با رابط کاربری OpenSea.

در پاسخ، OpenSea یک ویژگی “فهرست های غیرفعال” را در سایت دسکتاپ خود در 24 ژانویه راه اندازی کرد. آنها به درخواست قبلی Decrypt برای اظهار نظر پاسخ ندادند.

اوایل این هفته به برخی از دارندگان BAYC توسط OpenSea گفته شد که مقداری از Ethereum برای ضررشان بازپرداخت خواهد شد. تیبالر، که Ape #9991 را به قیمت 0.77 ETH (حدود 1700 دلار) از دست داد، در 25 ژانویه به Decrypt گفت که احساس می‌کند «پاسخ نسبتاً آهسته‌ای» از OpenSea دریافت کرده است، اما «خوشحال است که با من تماس گرفتند».

Tballer به Decrypt گفت: «جامعه [NFT] به من در این امر کمک کرد. “شبی که این اتفاق افتاد من تقریباً نزدیک بودم که به خانه بروم و همه چیز را بفروشم.”

اکنون به نظر می رسد که میمون Tballer متعلق به Juan Fdez است، که دو میمون را خریداری کرد که سهوا فروخته شدند. Fdez همچنین دارای BAYC #8924 است که برای 6.66 ETH (حدود 17000 دلار) سوایپ شده بود. Fdez به درخواست Decrypt برای اظهار نظر پاسخ نداد.

اگر تیبالر بخواهد میمون خود را برگرداند، باید 130 ETH (330000 دلار) بپردازد.

در 26 ژانویه، OpenSea ایمیلی با فهرست‌های غیرفعال به صاحبان NFT ارسال کرد و به آن‌ها گفت: «لطفاً فوراً برای لغو فهرست‌های غیرفعال اقدام کنید».

این دستورالعمل‌ها نگرانی‌هایی را برانگیخت، زیرا دینگالینگ، گردآورنده NFT، در یک موضوع طولانی توییتر استدلال کرد که این ایمیل «به‌طور باورنکردنی غیرمسئولانه از سوی آن‌ها بوده و اوضاع را ۱۰۰ برابر بدتر می‌کند. این در واقع اجرای اکسپلویت را بسیار آسان‌تر می‌کند.»

به سادگی به کاربران گفت که فهرست‌های غیرفعال را یک به یک در وب‌سایت OpenSea لغو کنند، در واقع به بهره‌برداران اجازه می‌دهد تا خریدهای خود را در سایر فهرست‌های غیرفعال انجام دهند. به عنوان مثال، Swolfchan دارنده باشگاه قایق بادبانی Mutant Ape Ape خود را در کیف پول اصلی خود نگه داشت و فهرست غیرفعال 15 ETH را لغو کرد. پس از آن، آنها قصد داشتند یک لیست 6 ETH را لغو کنند.

اما در بین زمانی که Swolfchan طول کشید تا اولین فهرست غیرفعال را لغو کند و به فهرست دوم منتقل شود، یک بهره‌بردار Ape آنها را با قیمت 6 ETH خریداری کرد.

Dingaling توضیح داد که اگر Swolfchan میمون را به کیف پول دیگری منتقل می کرد، سپس همه لیست ها را لغو می کرد، سپس میمون را به کیف پول اصلی منتقل می کرد، آنها در امان بودند. اما به نظر نمی رسید که OpenSea این دستورالعمل ها را در ایمیل اولیه خود ارائه کند.

الکس آتاالله، یکی از بنیانگذاران OpenSea در 27 ژانویه به Dingaling گفت که «رفع این مشکل اولویت شماره 1 شرکت ما است. ما تیمی داریم که روی آن کار می‌کند و اکنون یک اقدام متقابل انجام می‌دهد.»

در مورد اینکه این راه‌حل‌ها چه می‌توانند باشند، چارلز گویلمت، مدیر ارشد فناوری لجر، چند ایده دارد: او به Decrypt گفت: «یک طراحی متفاوت می‌توانست از چنین مشکلی جلوگیری کند. Guillemet استدلال می کند که رابط کاربری در OpenSea باید برای کاربران واضح تر می بود. او گفت: «انتقال NFT نباید دستور فروش را از UI حذف کند.