Аукцион доменных имен от службы регистрации доменов для сети Ethereum окончился неудачей, так как в системе обнаружилась уязвимость, позволившая хакеру захватить 17 самых лучших имен. Аукцион проводился рынком цифровых предметов коллекционирования OpenSea, который и сообщил о происшедшем.
Один пользователь обнаружил эксплойт в системе JavaScript SDK, из-за чего программное обеспечение аукциона продало домены не тем участникам, которые сделали на аукционе самую высокую ставку, а злоумышленнику. Таким способом он смог заполучить имена apple.eth, love.eth, wallet.eth, pay.eth и многие другие. Эта же ошибка привела к неправильной продаже еще 30 имен, но в этом случае преднамеренного использования эксплойта не было.
Система ENS работает не так, как стандартные DNS-сервисы. Доменные имена хранятся и переназначаются через блокчейн, а благодаря его неизменности, доменное имя нельзя принудительно конфисковать. Поэтому все захваченные имена навсегда принадлежат злоумышленнику.
Компания OpenSea попросила хакера и других пользователей, которые не справедливо получили домены, добровольно их вернуть и пообещала выплатить вознаграждение в размере 25% от максимальной цены каждого домена. В противном случае OpenSea внесет их в черный список и рассмотрит возможность сделать эти имена невозобновляемыми.