Les escrocs semblent profiter d'un bogue OpenSea pour acheter des NFT de valeur à un prix considérablement moins cher que leur liste actuelle.
Plusieurs chercheurs et développeurs ont détaillé le problème persistant, certains affirmant que des NFT spécifiques d'une valeur de centaines de milliers de dollars ont été volés en exploitant le bogue de la plate-forme.
OpenSea Bug ouvre la plate-forme pour pirater
Selon les rapports, une faille dans le front-end de l'important marché de jetons non fongibles (NFT) OpenSea a entraîné un exploit qui permet aux utilisateurs d'acquérir des NFT populaires à leur prix d'inscription précédent.
Le problème semble prévaloir avec les objets de collection Bored Ape Yacht Club (BAYC) et Mutant Ape Yacht Club (MAYC) NFT, où l'exploitant a pu les acheter à leur prix d'origine et les revendre ensuite au prix actuel du marché. BAYC #9991, BAYC #8924 et MAYC #4986 font partie des NFT concernés.
Le piratage a été révélé après que le collectionneur NFT "TBALLER" a tweeté que leur rare Bored Ape # 9991 s'était vendu pour une somme dérisoire de 77 ETH, soit 1,775 XNUMX $ tôt lundi matin.
Yooo les gars ! Je ne sais pas ce qui vient de se passer, pourquoi mon singe vient-il de se vendre pour 77 ?????
– TBALLER.eth (@T_BALLER6) 24 janvier 2022
L'acheteur, qui s'appelle "jpegdegenlove", a renversé le singe NFT presque immédiatement pour 84.2 ETH, soit environ 200,000 332 $. L'utilisateur a pu retourner environ 754,000ETH (XNUMX XNUMX $).
Exploitant signalé Solde du portefeuille Ether Source : Etherscan
PekShieldAlert – le bot d'alertes en temps réel de la société de sécurité populaire PeckShield – a alerté d'une faille frontale OpenSea plus tôt dans la journée, notant que l'exploité avait déjà obtenu 332 ETH d'une valeur d'environ 750 XNUMX $ à l'époque.
Il semble que @opensea a un problème frontal et l'exploiteur a gagné environ 332 Etherhttps://t.co/35kCB1n7nv
– PeckShieldAlert (@PeckShieldAlert) 24 janvier 2022
Selon la société d'analyse de crypto-monnaie Elliptic, chez leaOpenSeast, trois attaquants ont acheté des NFT d'une valeur marchande totale d'un peu plus d'un million de dollars en utilisant la faiblesse depuis lundi matin. "En exploitant cette faille, un attaquant a payé aujourd'hui un total de 1 133,000 dollars pour sept NFT, avant de les revendre rapidement pour 934,000 XNUMX dollars", lit-on sur le blog de l'entreprise.
Dans un Fil de Twitter, Rotem Yakir, développeur de l'entreprise monétaire décentralisée Orbs.com, a expliqué la vulnérabilité. Selon Yakir, les personnes qui ont remis en vente leurs NFT sans les annuler, puis les ont vendus à un prix plus élevé pourraient les faire acheter à un prix moins cher grâce au problème.
Plus tôt dans la journée, le chercheur en sécurité Tal Be'ery a corroboré la découverte d'Elliptic et Yakir en affichage des données de la blockchain Ethereum confirmant que Bored Ape Yacht Club #8274 a été acheté en juillet pour 50,500 22.9 $ (296,000 ETH) et revendu pour environ 130 XNUMX $. (XNUMX ETH).
Article connexe | Qu'est-ce qui s'est mal passé dans le piratage de Crypto.com (CRO) ? Les experts pèsent
Cet exploit n'est pas nouveau
Un exploit antérieur le 31 décembre a été témoin d'un scénario similaire, dans lequel un problème semblait provenir du transfert d'actifs du portefeuille OpenSea vers un portefeuille séparé sans que la liste soit annulée.
Selon un utilisateur, si quelqu'un utilisant OpenSea mettait un NFT en vente et décidait plus tard qu'il ne voulait pas que cette publicité reste active, la plateforme facturerait sa suppression. Cependant, cela peut être coûteux, c'est pourquoi les utilisateurs ont conçu une solution de contournement dans laquelle ils ont transféré le NFT vers un autre portefeuille, annulant ainsi la liste.
1/ Récemment il y a eu un @opensea exploit qui a permis d'acheter des actifs à des prix très réduits, y compris 3 pass freshdrops, un BAYC https://t.co/8pEgeXkOBo, plusieurs MAYC, et plus encore. J'ai fait quelques recherches ce matin et voici ce qui se passe -> un ??
— cap10bad.ΞTH | Freshdrops.io (@cap10bad) 31 décembre 2021
OpenSea n'a pas résolu le problème lorsqu'il a été signalé.
Article connexe | BitMart laisse les utilisateurs en lecture alors que les victimes de piratage attendent des remboursements
Les utilisateurs peuvent voir si leur annonce a été supprimée de Rarible, un autre marché NFT qui utilise l'API d'OpenSea. Selon l'utilisateur, la faille a été signalée après l'événement de décembre, mais aucune mesure n'a été prise pour la résoudre.
ETH / USD plane au-dessus de 2,400 XNUMX $. Source : TradingView
Il convient de noter que ce problème est survenu à la suite de la conception prévue d'OpenSea, un service centralisé qui utilise des pièces décentralisées. Il est difficile de classer cela comme un hack ou même un bug. OpenSea informe les consommateurs que c'est ainsi que fonctionne son service, ce qui a donné lieu à de nombreuses arnaques. Le bogue OpenSea montre qu'il s'agit d'un marché bâclé, et si les utilisateurs ne sont pas prudents pour suivre les bonnes pratiques, ils peuvent être exploités par des utilisateurs plus avertis.
Il n'est actuellement pas clair si le bogue OpenSea est traité comme une faille de sécurité ouverte ou comme le résultat d'une erreur de l'utilisateur.
Image sélectionnée d'Unsplash, graphique de TradingView.com et Etherscan
Source : https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/