Memperbaiki masalah ini adalah “prioritas # 1” pasar NFT, kata co-founder Alex Atalla.

OpenSea sekarang telah mengganti 750 Ethereum, sekitar $1,8 juta, kepada pengguna yang secara tidak sengaja menjual NFT berharga jauh di bawah harga pasar mereka melalui eksploitasi yang melibatkan “daftar tidak aktif.”

Baru-baru ini, beberapa pengguna pasar NFT› terkemuka mengeluh bahwa NFT blue chip mereka, seperti yang dimiliki oleh koleksi Bored Ape Yacht Club (BAYC), telah dibeli dengan harga lama yang murah. Daftar ini tidak pernah dibatalkan di blockchain, meskipun antarmuka pengguna di OpenSea menyarankan bahwa mereka telah dibatalkan.

Bagaimana ini terjadi? Pembeli yang paham teknologi telah menggunakan layanan seperti Tornado Cash untuk menyalurkan uang ke alamat dompet kripto tanpa mengungkapkan sumbernya dan menggunakan dana tersebut untuk membeli NFT dengan harga lama.

Eksploitasi ini bukanlah hal baru. Blockchain Ethereum mengharuskan pengguna membayar biaya gas untuk melakukan transaksi, termasuk membatalkan daftar di OpenSea yang belum kedaluwarsa. Tetapi sebelum OpenSea menerapkan tanggal kedaluwarsa yang dapat dipilih pada daftar, banyak pemegang NFT memiliki daftar tidak aktif yang tidak memiliki tanggal kedaluwarsa dan karenanya memerlukan pembatalan manual melalui biaya gas berbayar. Daftar kedaluwarsa baik-baik saja, tetapi daftar yang tidak aktif menimbulkan risiko.

Dalam upaya untuk menghindari membayar biaya gas Ethereum, yang seringkali dapat mencapai ratusan dolar untuk satu transaksi, beberapa pemilik NFT menemukan celah. Jika mereka mentransfer NFT ke dompet sekunder, dan kemudian kembali ke dompet pertama, daftar tersebut menghilang di UI OpenSea.

Namun pada kenyataannya, daftar tersebut hanya berubah dari “aktif” menjadi “tidak aktif.” Dan daftar tidak aktif masih dapat dibeli oleh pakar blockchain yang berinteraksi langsung dengan kontrak pintar itu sendiri, bukan UI OpenSea.

Sebagai tanggapan, OpenSea meluncurkan fitur “daftar tidak aktif” di situs desktopnya pada 24 Januari. Mereka tidak menanggapi permintaan komentar Decrypt sebelumnya.

Beberapa pemegang BAYC diberitahu oleh OpenSea awal minggu ini bahwa mereka akan mendapatkan pengembalian uang Ethereum untuk kerugian mereka. Tballer, yang kehilangan Ape #9991 untuk 0,77 ETH (sekitar $1.700), mengatakan kepada Decrypt pada 25 Januari bahwa dia merasa mendapat “respons yang agak lambat” dari OpenSea tetapi “senang mereka kembali kepada saya.”

“Komunitas [NFT] membantu saya melalui ini,” kata Tballer kepada Decrypt. “Pada malam itu terjadi, saya hampir pulang dan menjual segalanya.”

Kera Tballer sekarang tampaknya milik Juan Fdez, yang membeli dua Kera yang dijual secara tidak sengaja. Fdez juga memegang BAYC #8924, yang telah digesek untuk 6,66 ETH (sekitar $17.000). Fdez tidak menanggapi permintaan Decrypt untuk berkomentar.

Jika Tballer menginginkan keranya kembali, dia harus membayar 130 ETH ($330.000).

Tballer’s Ape memiliki pemilik baru.
Pada tanggal 26 Januari, OpenSea mengirimkan email kepada pemilik NFT dengan daftar tidak aktif yang memberi tahu mereka untuk “bertindak segera untuk membatalkan daftar tidak aktif.”

Instruksi ini memicu beberapa kekhawatiran, karena kolektor NFT Dingaling berargumen di utas Twitter yang panjang bahwa email itu “sangat tidak bertanggung jawab di pihak mereka dan membuat segalanya 100x lebih buruk. Ini sebenarnya membuat eksploitasi lebih mudah untuk dieksekusi. ”

1/ PERINGATAN: JANGAN BATALKAN DAFTAR OS ANDA SEPERTI YANG TERCANTUM DI EMAIL YANG TELAH DIKIRIMKAN OPENSEA🚨🚨

Silakan transfer NFT Anda terlebih dahulu ke alamat lain dan batalkan daftar di alamat asli SEBELUM mengirimnya kembali

OS hanya menempatkan semua orang pada risiko yang lebih besar dari sebelumnya🧵

— dingaling (@dingalingts) 27 Januari 2022

Dengan hanya memberi tahu pengguna untuk membatalkan daftar tidak aktif satu per satu di situs web OpenSea, itu sebenarnya memungkinkan pengeksploitasi untuk melakukan pembelian pada daftar tidak aktif lainnya. Misalnya, pemegang Mutant Ape Yacht Club, Swolfchan, menyimpan Ape mereka di dompet utama mereka dan membatalkan daftar tidak aktif 15 ETH. Setelah itu, mereka berencana untuk membatalkan daftar 6 ETH.

Tetapi di antara waktu yang dibutuhkan Swolfchan untuk membatalkan daftar tidak aktif pertama dan pindah ke yang kedua, seorang pengeksploitasi membeli Kera mereka dengan harga 6 ETH.

Dingaling menjelaskan bahwa jika Swolfchan memindahkan kera ke dompet lain, kemudian membatalkan semua daftar, lalu memindahkan kera kembali ke dompet utama, mereka akan aman. Tetapi OpenSea tampaknya tidak memberikan instruksi ini di email awalnya.

Salah satu pendiri OpenSea Alex Atallah mengatakan kepada Dingaling pada 27 Januari bahwa “memperbaiki masalah ini adalah prioritas perusahaan #1 kami. Kami memiliki tim yang mengerjakannya dan melakukan tindakan balasan sekarang.”

Adapun solusi apa yang bisa dilakukan, CTO Ledger Charles Guillemet memiliki beberapa ide: “Desain yang berbeda dapat menghindari masalah seperti itu,” katanya kepada Decrypt. Guillemet berpendapat bahwa UI di OpenSea seharusnya lebih jelas bagi pengguna. “Pemindahan NFT seharusnya tidak menghapus order jual dari UI,” katanya.