Uma das mais tradicionais plataformas de compra e venda de tokens não fungíveis (NFTs), a OpenSea tem uma vulnerabilidade grave que permite a aquisição de itens digitais por preços anteriormente listados — e que normalmente eram mais baixos.
O caso ficou conhecido após denúncias diferentes do desenvolvedor Rotem Yakir e do especialista em cibersegurança Tal Be’ery, que detectaram atividades suspeitas ao analisar transações de NFTs na blockchain.
** Urgent ** There is an @opensea devastating bug that will keep old listing and allow exploiters to buy the NFT using their API. Immediate action is to move your NFT to a new wallet or wallet without any previous listing. I will add a ??about it very soon
— Rotem Yakir ?? ?? (@yakirrotem) January 24, 2022
Segundo os relatos, a falha é de front-end e está na API do OpenSea, que mantém as listagens antigas de preços de um mesmo NFT relativamente acessíveis. Dessa forma, o criminoso consegue realizar a compra de um token pelo preço mais velho e revender por um valor bem mais alto, embolsando um alto lucro no processo.
No caso detalhado por Be'ery, uma NFT da popular coleção Bored Ape Yacht Club foi comprado por "apenas" 22,9 Ethereum em 24 de janeiro, porém usando um preço que foi listado em junho de 2021 — quando os NFTs ainda eram menos populares e, portanto, mais baratos.
1/ Seems related to the issue reported by @yakirrotem (h/t @OurielOhayon ):
— Tal Be'ery (@TalBeerySec) January 24, 2022
Attackers were able to abuse old NFT listings to buy them in the old price then sell in the new price.
Lets take a look at the most lucrative asset sold by attackers for ~130ETHhttps://t.co/GE7bi8GA89 https://t.co/eyViNWSpl2 pic.twitter.com/eGnVpDQQer
Em menos de meia hora, o token foi revendido por 130 Ethereum. No momento da transação, isso significa um lucro de cerca de US$ 225 mil, mas até US$ 745 mil já podem ter sido obtidos por criminosos que exploraram essa falha.
Anteriormente, os mesmos NFTs de artes de macacos com diferentes cores e acessórios já foram alvo de um golpe de venda de imagens falsificadas.
De acordo com o site The Record, o OpenSea até agora não se manifestou publicamente sobre o caso. Detentores de NFTs vendidos na plataforma que já mudaram o valor de seus itens devem trocar a carteira virtual conectada a esses tokens para evitar que o bug seja utilizado com a sua coleção.
Fontes
Categorias
