Los piratas informáticos explotaron un error existente en la plataforma OpenSea para comprar múltiples NFT por valor de más de un millón de dólares con descuentos drásticos de seis cifras.
Elliptic informa pérdida de NFT en OpenSea
Los NFT en múltiples billeteras fueron atacados en el hackeo, donde los atacantes pudieron comprarlos a precios previamente listados sin avisar a los propietarios. OpenSea aún no ha hecho ningún comentario o anuncio sobre el ataque, que fue notado e informado por primera vez por la empresa de análisis de blockchain Elliptic.
Según el científico jefe y cofundador de Elliptic, Tom Robinson
“El exploit parece provenir del hecho de que anteriormente era posible volver a cotizar un NFT a un nuevo precio, sin cancelar la cotización anterior. Esos listados antiguos ahora se están utilizando para comprar NFT a precios especificados en el pasado, a menudo muy por debajo de los precios actuales del mercado".
Error explotado para arrebatar NFT
Uno de los NFT robados al explotar este error fue Bored Ape #9991 de la popular colección Bored Ape Yacht Club. El NFT se compró por 0.77 ETH (alrededor de $ 1747), un precio drásticamente bajo para un NFT de Bored Ape, que generalmente se vende por cientos de miles de dólares. Sin embargo, el propietario en el momento de la venta no sabía que NFT se había incluido en la lista por un monto tan bajo. Poco después, el mismo NFT se vendió por 84.2 ETH (aprox. 189,040 187,000 USD), lo que representó una ganancia significativa de más de XNUMX XNUMX USD.
El CEO Robinson ha señalado un total de ocho NFT que han sido robados de esta manera. Los monederos de origen eran todos diferentes, mientras que el total de monederos del atacante eran solo tres. Otro monedero atacante pudo adquirir siete NFT por $133,000, mientras que un tercero adquirió otro NFT de Bored Ape por unos míseros 23 ETH.
¿Cómo se crea este error?
En un hilo de Twitter, el desarrollador de software Rotem Yakir resumió cómo se creó el error a partir de una falta de coincidencia entre la información disponible en los contratos inteligentes de NFT y la información presentada por la interfaz de usuario de OpenSea. En última instancia, el error permite a los atacantes acceder a precios de contratos antiguos que aún existen en la cadena de bloques pero que no pueden verse en la aplicación OpenSea. Los compradores potenciales en OpenSea hacen una oferta sobre el "precio de lista" visible según lo establecido por el propietario de NFT. Una vez que un comprador acepta el precio de lista, la propiedad del NFT se le transfiere automáticamente.
El error se crea cuando los propietarios quieren volver a listar sus NFT a un precio más alto pero no quieren pagar las tarifas de gas para cancelar la primera lista. Entonces, en cambio, transfieren el NFT a otra billetera y luego regresan a la billetera original. Al hacer esto, se elimina la lista del front-end de OpenSea. Sin embargo, la lista original permanece activa en la cadena de bloques y se puede encontrar a través de la API de OpenSea.
Es interesante notar que este error se descubrió en diciembre de 2021. Además, incluso en enero de 2022, un hilo de Twitter arrojó luz sobre la venta forzada de NFT con este método. Sin embargo, OpenSea no tomó ninguna medida preventiva en ese momento.
Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea