熱門的區(qū)塊鏈交易市場(chǎng)平臺(tái) OpenSea 最近的一個(gè)漏洞被發(fā)現(xiàn)，部分黑客利用該漏洞以遠(yuǎn)低于市場(chǎng)的價(jià)格購(gòu)買了一些昂貴的 NFT，在某些情況下使得原本使用者損失了數(shù)十萬(wàn)美元，而這些明目張膽的小偷則獲得了對(duì)應(yīng)的巨額利潤(rùn)。

該漏洞似乎已經(jīng)存在了長(zhǎng)達(dá)數(shù)周，并且在年初就被一些人發(fā)現(xiàn)。但在過去幾天，該漏洞的利用率明顯提升：區(qū)塊鏈分析公司 Elliptic 的報(bào)告指出，在 1 月 24 日上午的 1 小時(shí)內(nèi)，該漏洞至少被利用了 8 次，“竊取”了市值超過 100 萬(wàn)美元的 NFT。

Elliptic 的創(chuàng)始人 Tom Robinson 表示：“這到底是一個(gè)漏洞還是 BUG，不過是主觀的判斷，但事實(shí)是人們被迫以他們不會(huì)接受的價(jià)格進(jìn)行了出售?！?

根據(jù)軟件開發(fā)者 Rotem Yakir 的推特帖子，該漏洞是由 NFT 智能合約中可用的信息與 OpenSea 用戶界面提供的信息不匹配造成的。從本質(zhì)上講，攻擊者正在利用存在于區(qū)塊鏈上但不再出現(xiàn)在 OpenSea 應(yīng)用程序提供的視圖中的舊合同。

據(jù) CoinDesk 稱，該漏洞最早于 2021 年 12 月 31 日被發(fā)現(xiàn)。大約兩周前的 2022 年 1 月 12 日的一條推文詳細(xì)介紹了通過相同方法強(qiáng)制出售 NFT。

目前尚不清楚 OpenSea 是將這種情況視為開放的安全漏洞還是用戶錯(cuò)誤的結(jié)果。截至發(fā)稿時(shí)，該公司沒有發(fā)表任何回應(yīng)。