Os hackers exploraram um bug existente na plataforma OpenSea para comprar vários NFTs no valor de mais de um milhão de dólares com descontos drásticos de seis dígitos.
Elliptic relata perda de NFT no OpenSea
NFTs em várias carteiras foram alvos do hack, onde os invasores conseguiram comprá-los a preços listados anteriormente sem avisar os proprietários. A OpenSea ainda não fez um comentário ou anúncio sobre o ataque, que foi notado e relatado pela primeira vez pela empresa de análise de blockchain Elliptic.
De acordo com o cientista-chefe e cofundador da Elliptic, Tom Robinson
“A exploração parece vir do fato de que anteriormente era possível listar novamente uma NFT a um novo preço, sem cancelar a listagem anterior. Essas listagens antigas agora estão sendo usadas para comprar NFTs a preços especificados no passado – geralmente bem abaixo dos preços atuais de mercado”.
Bug explorado para capturar NFTs
Um dos NFTs roubados ao explorar esse bug foi o Bored Ape #9991 da popular coleção Bored Ape Yacht Club. O NFT foi comprado por 0.77 ETH (cerca de US$ 1747), um preço drasticamente baixo para um NFT Bored Ape, geralmente vendido por centenas de milhares de dólares. No entanto, o proprietário no momento da venda não sabia que a NFT havia sido listada por um valor tão baixo. Logo depois, o mesmo NFT foi vendido por 84.2 ETH (aprox. $ 189,040), representando um lucro significativo de mais de $ 187,000.
O CEO Robinson apontou um total de oito NFTs que foram roubados dessa maneira. As carteiras de origem eram todas diferentes, enquanto o total de carteiras de atacantes eram apenas três. Outra carteira de invasores conseguiu adquirir sete NFTs por US$ 133,000, enquanto uma terceira adquiriu outra NFT Bored Ape por míseros 23 ETH.
Como esse bug é criado?
Em um tópico no Twitter, o desenvolvedor de software Rotem Yakir resumiu como o bug foi criado a partir de uma incompatibilidade entre as informações disponíveis nos contratos inteligentes NFT e as informações apresentadas pela interface do usuário do OpenSea. Em última análise, o bug permite que os invasores acessem preços de contratos antigos que ainda existem no blockchain, mas estão bloqueados no aplicativo OpenSea. Os potenciais compradores no OpenSea fazem uma oferta no “preço de tabela” visível conforme definido pelo proprietário da NFT. Uma vez que um comprador aceita o preço de tabela, a propriedade do NFT é automaticamente transferida para ele.
O bug é criado quando os proprietários querem re-listar seus NFTs a um preço mais alto, mas não querem pagar as taxas de gás para cancelar a primeira listagem. Então, em vez disso, eles transferem o NFT para outra carteira e depois voltam para a carteira original. Fazer isso remove a listagem do front-end do OpenSea. No entanto, a listagem original permanece ativa no blockchain e pode ser encontrada através da API OpenSea.
É interessante notar que esse bug foi descoberto em dezembro de 2021. Além disso, mesmo em janeiro de 2022, um tópico no Twitter destacou a venda forçada de NFTs com esse método. No entanto, nenhuma ação preventiva foi tomada pela OpenSea na época.
Isenção de responsabilidade: este artigo é fornecido apenas para fins informativos. Não é oferecido ou tem a intenção de ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://cryptodaily.co.uk/2022/01/opensea-bug-leads-to-massive-nft-loss-opensea