事件簡述
全球最大的非同質化代幣 NFT（Non-Fungible Token）交易平台被英國的區塊鏈安全業者 Elliptic 揭露其平台含有一個臭蟲，讓駭客能透過OpenSea API，以低於市價的價格購入該平臺上所銷售的NFT。Elliptic表示，目前已有 3 名攻擊者在 12 小時內以不到 15 萬美元的價格購買了至少 8 個市值超過 100 萬美元的 NFT 再將其轉售出去。
 

攻擊手法
這個漏洞為允許用戶在更新 NFT 產品列表及價格時不必刪除舊有的資料，使得這些舊資料被保留於區塊鏈上，這些資料一般為過往 NFT 的售出價，導致駭客能夠以舊有價格買下 NFT，再迅速以高價轉售。
 

一名用戶在 Twitter 上表示自己的 Ape NFT 被僅僅 0.77 以太幣（1800美元）買走。

 

受影響之NFT
Bored Ape Yacht Club、Mutant Ape Yacht Club,、Cool Cats 及 Cyberkongz。
 

OpenSea 的回應
OpenSea 的一位發言人告訴 ZDNet，至發現問題以來，他們便在尋找解決方案。但他們否認這是一個漏洞，而是由區塊鏈本質所引起的問題，因為當用戶將物品從第三方錢包轉出時，他們為物品創建的列表不會被自動刪除， OpenSea 也無法替用戶刪除列表，而是必須由用戶自己親手刪掉，而 OpenSea 並不是唯一受此問題影響的用戶。他們計劃為用戶配置一個儀錶板，儀錶板上會顯示所有不再使用的列表，讓用戶可以直接透過儀錶板刪除。

 

參考資料：
https://www.zdnet.com/article/opensea-reimbursing-people-affected-by-bug-used-to-purchase-nfts-below-market-value/