Keşfedilen bir açık sebebiyle hackerların yüksek fiyatlı NFT'leri pazar değerinin altına almasına neden olan OpenSea saldırısı, 100 binlerce dolar kayıp yaşanmasıyla sonuçlandı. Pazar değeri 1 milyon doların üzerinde olan NFT'leri çalan saldırganlar, söz konusu açıktan  8 kere faydalandı.  OpenSea saldırısı için zemin hazırlayan söz konusu açığın platformda haftalardır mevcut olduğu düşünülüyor. Buna kanıt olarak; Carson Turner kullanıcı adlı bir kişinin, Twitter’da 2 Ocak tarihinde, @ACYCapital'in kendi Bored Ape Yacht Club NFT'sini OpenSea hackinden faydalanarak aldığını söylemesi de gösterilmekte. Bunun yanı sıra açığın ilk olarak 31 Aralık tarihinde keşfedildiği de iddia ediliyor. Başka bir kullanıcı da tıpkı Carson Turner gibi  benzer bir bug’dan 13 Ocak tarihinde söz ederek bunun sebep olabileceği problemlerden kaçınmanın yollarını paylaşmıştı.  Ancak OpenSea saldırısı, kötü niyetli kişilerin geniş kapsamlı bir şekilde bu açıktan istifade etmesi üzerine 23 - 24 Ocak tarihlerinde yaşandı. Blockchain analiz şirketi Elliptic tarafından paylaşılanlardan elde edilen bilgilere göre, söz konusu açıktan yaklaşık 8 kere faydalanıldı. Bu durum, pazar değeri 1 milyon doların üzerinde olan NFT’lerin çalınmasıyla sonuçlandı.

OpenSea Saldırısı Sonrası Liste Fiyatlarıyla İlgili Yeni Bir Özellik Yayınladı

Bored Ape Yacht Club #9991 NFT'si OpenSea saldırısı gerçekleştirenler tarafından 0.77 ETH yani yaklaşık 1,760 dolara satın alındı. Bunun sonucunda ise 84.2 ETH'e yani yaklaşık 192 bin 400 dolara hızlıca elinden çıkardı. Böylece 190 bin dolardan fazla kar saldırganlar tarafından elde edilmiş oldu. Satışı gerçekleştiren hesap, platformda 400 ETH'den (904 bin dolar)  fazla ödemeyi  12 saat içinde aldı.  https://twitter.com/opensea/status/1485757970017230848?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1485757970017230848%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwebrazzi.com%2F2022%2F01%2F25%2Fopensea-bug%2F Söz konusu açık, yazılım geliştiricisi Rotem Yakir'in paylaştıklarına göre;  OpenSea'nin arayüzünde sunulan bilgilerle NFT akıllı sözleşmelerinde bulunan bilgilerin uyuşmamasından kaynaklanmakta. Bu bağlamda OpenSea saldırısı gerçekleştirenler,  varlığını sürdüren ancak platformda görünmeyen eski kontratlardan faydalanıyor. Ayrıca kullanıcılar, alıcıların görebilmesi için NFT'leri satışa açarken bir liste fiyatı belirliyor. Alıcının liste fiyatını kabul etmesi halinde akıllı kontratlarda NFT otomatik olarak alıcıya transfer ediliyor.   Alıcı, eğer tekrar ürünü satmak için listelemek isterse, ilk liste fiyatını da iptal etmesi gerekmekte. Fakat, birçok kullanıcı, bu işlemi yapmak yerine yüksek gaz ücretleri sebebiyle NFT'leri farklı bir cüzdana aktararak orijinal cüzdanlarına geri gönderiyordu. Böylece, orijinal liste fiyatı, platformdaki liste fiyatları değişse de blockchain'de aktif olarak kalıyor. OpenSea saldırısı sonrasında platform tarafından liste fiyatları ile ilgili yeni bir özellik yayınladı. Listeleme yöneticisi isimli özellik şirket tarafından yayına alınıyor.