Unbekannte haben am gestrigen Montag offenbar einen Bug im NFT-Marktplatz Opensea ausgenutzt, um dort angebotene NFTs zu deutlich niedrigeren Preisen als sichtbar gelistet zu kaufen. Darauf hätten sie die NFTs dann wieder zu aktuellen Preisen verkauft und so umgerechnet mehr als eine Million Euro Gewinn einstreichen können, berichtet die Blockchain-Sicherheitsfirma Elliptic. Demnach schnappten sich die Unbekannten NFTs aus den teilweise sehr hochpreisig gehandelten Reihen Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats und Cyberkongz NFTs.

Insgesamt habe man drei Accounts beobachten können, die derart auf Beutezug gingen, schreibt Elliptic. Unter anderem konnte so jemand mit dem Pseudonym B1A22C den "Bored Ape Yacht Club NFT #9991" für 0,77 Ether erwerben und zwanzig Minuten später für 84,2 Ether weiterverkaufen – was einem Gewinn von umgerechnet rund 179.000 Euro entspricht.

Angreifer entschädigte Geprellte ein bisschen

Ein Account namens "jpegdegenlove" wiederum habe sich sieben NFTs für umgerechnet rund 117.000 Euro gekauft und dann für 825.000 Euro in Ether wieder verkauft. Die so eingenommenen Ether seien dann zum Mixing-Dienst Tornado Cash gewandert, der zur Verschleierung von Zahlungsflüssen dient. Zwei der um ihre NFT-Marktwerte geprellten Nutzer berichteten allerdings, von "jpegdegenlove" Zahlungen in Höhe von 20 Ether und 13 Ether erhalten zu haben – wohl als eine Art Ausgleich.

Gegenüber Zdnet sagte ein Sprecher von Opensea, dass dahinter "kein Bug oder eine Sicherheitslücke" stehe. Das Problem liege demnach in einer Diskrepanz zwischen dem, was über Opensea in der Ethereum-Blockchain verzeichnet werde, und dem, was auf der Website zu sehen sei. Wenn ein Nutzer ein einmal eingetragenes Verkaufsangebot mit einem bestimmten Preis wieder löschen möchte, muss der Vorgang mit kryptografischer Signatur dem Ethereum-Netzwerk mitgeteilt und eine Verarbeitungsgebühr in Ether ans Netzwerk gezahlt werden. Opensea könne das nicht stellvertretend im Auftrag der Nutzerinnen und Nutzer erledigen, betonte der Sprecher.

Irreführende Anzeige

Manche Nutzer versuchten nun wohl, die Gebühren zu umgehen, und transferieren die NFTs auf eine andere Wallet. Auf der Website von Opensea sei dann keine Listung zum Verkauf mehr zu sehen. Und im Vertrauen darauf transferierten die Betreffenden ihre NFTs wieder zurück und setzten sie neu zum Verkauf rein. Doch die alten Listungen könnten noch aktiv sein, auch wenn sie nicht auf der Seite zu sehen seien. Über die API von Opensea oder auch den Dienst orders.rarible.com könne man die alten Listungen abrufen und dann bedienen. Wer diese Daten abruft, hätte also auf NFT-Schnäppchenjagd gehen können, ohne dass die Verkäufer sich der Gefahr bewusst sind.

Das Problem war bereits seit einigen Wochen bekannt und Opensea wurde auch mehrfach auf Twitter darauf hingewiesen, unter anderem am 31. Dezember von einem Entwickler aus der NFT-Szene.

Man sei sich des Problems bewusst gewesen und habe auch an Lösungen gearbeitet, sagte der Opensea-Sprecher Zdnet. Und gelobte Besserung: Ein neues Dashboard solle klar aufzeigen, dass es noch alte Einträge gebe. Ebenso sollen Verkaufsangebote künftig per Default nur noch eine Dauer von einem Monat statt wie bisher sechs Monaten haben. Die von der Schnäppchen-Attacke Betroffenen habe man kontaktiert und werde ihren Schaden erstatten, hieß es.

(axk)