Una brecha en OpenSea permite a actores maliciosos “comprar” NFT de coleccionistas a precios de descuento y luego revenderlos. El problema parece estar relacionado con la función para cancelar ofertas en la plataforma.
Antilavadodedinero / Diariobitcoin
Según los informes, el principal mercado de tokens no fungibles (NFT), OpenSea, se encuentra bajo un ataque de piratería que ha permitido a un actor malicioso extraer cientos de dólares en Ethereum (ETH).
Parece que un error en la plataforma está causando angustia a varios coleccionistas de arte digital, que han acudido este lunes a Twitter para denunciar la pérdida de algunos de sus NFT. Varios usuarios de OpenSea han reportado en la red social que sus NFT se han vendido a precios de descuento, a pesar de que los mismos no se encontraban a la venta en el mercado.
Un coleccionista identificado bajo el seudónimo TBALLER.eth escribió en un tweet que su NFT de la serie Bored Ape Yacht Club se había vendido en OpenSea por 0,77 ETH (USD $1.700) a pesar de que no se encontraba a la venta. Cabe señalar que el precio es muy inferior a los valores actuales de un coleccionable de Bored Ape Yacht Club, cuyo costo ronda los 86 ETH, o cerca de 190.000 dólares.
Actor malicioso aprovecha el error para llevarse una fortuna en NFT
En medio de las quejas de usuarios, la empresa de seguridad y análisis Blockchain, PeckShield, confirmó la brecha de seguridad y señaló que posiblemente estaba relacionada con la interfaz de usuario de OpenSea.
El informe agrega que al menos un usuario se ha aprovechado del error actual para amasar una fortuna de 332 ETH, valorados actualmente en alrededor de USD $730.500. Datos actualizados de la cadena de bloques Ethereum sugieren que esta cifra se eleva actualmente a 347 ETH, o más de 760.000 dólares.
De acuerdo con CryptoBriefing, el problema podría estar relacionado con el funcionamiento del mecanismo de listado de NFT en la plataforma. Para listar un NFT para la venta en OpenSea, los usuarios deben firmar un pedido que les permita listar el artículo de forma gratuita. Cualquiera que quiera comprar ese NFT puede usar esa firma para completar la transacción al precio establecido en la cadena en cualquier momento.
Pero si desean cancelar el listado deberán firmar una transacción por separado que registre el pedido como no válido en la cadena, una acción que puede conllevar un gasto elevado en tarifas. Como una forma de ahorrar las comisiones de transacción en la red, muchos coleccionistas optan por simplemente transferir el NFT a una billetera externa, o que elimina el NFT de la interfaz del sitio.
No obstante, parece que este procedimiento no cancela la orden de venta. Debido a esto, cuando un coleccionista vuelve a mover sus NFT a su billetera original, la lista se vuelve visible o se pone a la venta en Rarible, otro mercado de NFT que también utiliza la API de OpenSea. Esto permite que cualquier persona pueda comprar el NFT al precio original, incluso si el propietario no tenía la intención de venderlo.
De esta forma, el error parece permitir al explotador comprar los NFT a precios de venta antiguos y luego venderlos en el mercado a los precios de cotización actuales.
OpenSea no ha confirmado el ataque
Para el momento de edición, el equipo detrás de OpenSea no ha realizado ningún anuncio oficial sobre la brecha. Parece que el ataque se ha dirigido principalmente a los coleccionistas de series exitosas como Bored Ape Yacht Club (BAYC) y Mutant Ape Yacht Club (MAYC); sin embargo, los coleccionistas de otras series también han reportado pérdidas.
El creador del proyecto NFT SavePlanetEarth, quien se identifica en Twitter como Hustler, compartió un listado de algunos de los NFT que el atacante ha robado hasta el momento. En la lista también se pueden ver NFT de colecciones como CyberKongz y Cool Cats.
