บริษัทความปลอดภัย Elliptic รายงานการค้นพบบั๊กของ OpenSea แพลตฟอร์มขาย NFT ชื่อดัง ที่เปิดให้แฮ็กเกอร์สามารถซื้องาน NFT ในราคาที่ต่ำกว่าตลาดมากๆ แล้วไปขายต่อในราคาแพงได้

กรณีตัวอย่างเกิดกับงานในคอลเลคชัน Bored Ape Yacht Club NFT หมายเลข #9991 ที่ราคาตลาดขายกันอยู่ราว 198,000 ดอลลาร์ กลับถูกผู้ใช้ชื่อ jpegdegenlove ซื้อในราคาที่ต่ำกว่ามาก (0.77 ETH หรือราว 1,800 ดอลลาร์) แล้วนำกลับไปขายต่อในราคาถูกกว่าตลาดเล็กน้อยคือ 196,000 ดอลลาร์ในเวลาหลังจากนั้นไม่นาน เท่ากับทำกำไร 194,000 ดอลลาร์ (ประมาณ 6.4 ล้านบาท)

ผู้ใช้รายนี้ยังซื้อ NFT อีก 7 ชิ้นด้วยช่องโหว่แบบเดียวกัน ทำกำไรไปอีก 31 ล้านบาท

ระบบของ OpenSea ไม่ได้ทำทุกอย่างบนบล็อกเชน Ethereum แต่ทำธุรกรรมบางอย่างในเซิร์ฟเวอร์ของ OpenSea ให้เสร็จก่อนแล้วจึงค่อยส่งคำสั่งไปยังบล็อกเชนอีกที ช่องโหว่นี้เป็นฟีเจอร์หนึ่งของ OpenSea เองที่เปิดให้เจ้าของงานสามารถ re-list ขายงานเดิมในราคาใหม่ โดยไม่ต้องยกเลิกการประกาศขายอันเดิม แต่ถูกแฮ็กเกอร์เข้ามาใช้ประโยชน์ให้ปรับราคาใหม่ให้ถูกลงจากเดิม

ตอนนี้ยังไม่มีข้อมูลว่า OpenSea มีมาตรการชดเชยให้กับผู้เสียหายที่เป็นเจ้าของงาน NFT เดิมอย่างไร

ที่มา - Elliptic, Vice