Sembra che i truffatori stiano approfittando di un bug di OpenSea per acquistare NFT di valore a un prezzo notevolmente inferiore rispetto al loro elenco attuale.
Diversi ricercatori e sviluppatori hanno dettagliato il problema in corso, con alcuni che affermano che specifici NFT del valore di centinaia di migliaia di dollari sono stati rubati sfruttando il bug della piattaforma.
OpenSea Bug apre la piattaforma per hackerare
Secondo i rapporti, un errore nel front-end dell'importante mercato di token non fungibili (NFT) OpenSea ha portato a un exploit che consente agli utenti di acquisire NFT popolari al prezzo di listino precedente.
Il problema sembra essere prevalente con gli oggetti da collezione NFT Bored Ape Yacht Club (BAYC) e Mutant Ape Yacht Club (MAYC), dove lo sfruttatore è stato in grado di acquistarli al prezzo di listino originale e successivamente venderli al prezzo di mercato corrente. BAYC #9991, BAYC #8924 e MAYC #4986 sono tra gli NFT interessati.
L'hack è stato portato alla luce dopo che il collezionista di NFT "TBALLER" ha twittato che il loro raro Bored Ape #9991 è stato venduto per una miseria di 77 ETH, o $ 1,775 lunedì mattina presto.
Ehi ragazzi! Idk cosa è appena successo perché la mia scimmia ha venduto solo per .77?????
— TBALLER.eth (@T_BALLER6) Gennaio 24, 2022
L'acquirente, che si chiama "jpegdegenlove", ha ribaltato la scimmia NFT quasi immediatamente per 84.2 ETH, o circa $ 200,000. L'utente è stato in grado di capovolgere circa 332ETH ($ 754,000).
Sfruttatore segnalato Saldo del portafoglio Ether Fonte: Etherscan
PekShieldAlert, il bot di avvisi in tempo reale della popolare società di sicurezza PeckShield, ha avvisato oggi di un difetto del front-end di OpenSea, notando che l'exploit aveva già ottenuto 332 ETH per un valore di circa $ 750 all'epoca.
Sembra che @mare aperto ha un problema di front-end e lo sfruttatore ha guadagnato circa 332 Etherhttps://t.co/35kCB1n7nv
—PeckShieldAlert (@PeckShieldAlert) Gennaio 24, 2022
Secondo la società di analisi di criptovalute Elliptic, da lunedì mattina tre attaccanti hanno acquistato NFT con un valore di mercato totale di poco più di 1 milione di dollari sfruttando la debolezza da lunedì mattina. "Sfruttando questo difetto, oggi un aggressore ha pagato un totale di $ 133,000 per sette NFT, prima di venderli rapidamente per $ 934,000", si legge sul blog dell'azienda.
In un Thread di Twitter, Rotem Yakir, uno sviluppatore presso il business decentralizzato di denaro Orbs.com, ha spiegato la vulnerabilità. Le persone che hanno rimesso in vendita i loro NFT senza cancellarli e poi li hanno venduti a un prezzo più alto potrebbero farli acquistare a un prezzo più basso attraverso il problema tecnico, secondo Yakir.
Oggi, il ricercatore di sicurezza Tal Be'ery ha confermato la scoperta di Elliptic e Yakir di visualizzazione dei dati dalla blockchain di Ethereum confermando che Bored Ape Yacht Club #8274 è stato acquistato a luglio per $ 50,500 (22.9 ETH) e rivenduto per circa $ 296,000. (130 ETH).
Articolo correlato | Cosa è andato storto nell'hacking di Crypto.com (CRO)? Gli esperti pesano
Questo exploit non è nuovo
Un precedente exploit il 31 dicembre ha assistito a uno scenario simile, in cui un problema sembrava derivare dal trasferimento di risorse dal portafoglio OpenSea a un portafoglio separato senza che l'elenco venisse cancellato.
Secondo un utente, se qualcuno che utilizza OpenSea mettesse in vendita un NFT e in seguito decidesse che non voleva che quell'annuncio rimanesse attivo, la piattaforma addebiterebbe la sua rimozione. Questo, tuttavia, può essere costoso, quindi gli utenti hanno escogitato una soluzione alternativa in cui hanno trasferito l'NFT su un altro portafoglio, annullando così l'elenco.
1/ Recentemente c'è stato un @mare aperto exploit che ha consentito l'acquisto di risorse a prezzi notevolmente scontati, inclusi 3 pass freshdrops, un BAYC https://t.co/8pEgeXkOBo, più MAYC e altro ancora. Stamattina ho fatto delle ricerche ed ecco cosa sta succedendo -> a ??
— cap10bad.ΞTH | freshdrops.io (@cap10bad) Dicembre 31, 2021
OpenSea non ha affrontato il problema quando è stato segnalato.
Articolo correlato | BitMart lascia gli utenti a leggere mentre le vittime di hack attendono i rimborsi
Gli utenti possono vedere se il loro elenco è stato rimosso da Rarible, un altro mercato NFT che utilizza l'API di OpenSea. Secondo l'utente, il difetto è stato segnalato dopo l'occorrenza di dicembre, ma non è stata intrapresa alcuna azione per risolverlo.
ETH/USD oscilla sopra i 2,400$. Fonte: TradingView
Vale la pena notare che questo problema è sorto come risultato della progettazione prevista di OpenSea, un servizio centralizzato che utilizza monete decentralizzate. È difficile classificarlo come un hack o addirittura un bug. OpenSea informa i consumatori che questo è il modo in cui funziona il suo servizio, che ha portato a numerose truffe. Il bug di OpenSea mostra che si tratta di un mercato sciatto e, se gli utenti non sono cauti nel seguire le pratiche corrette, potrebbero essere sfruttati da utenti più esperti.
Al momento non è chiaro se il bug di OpenSea venga trattato come un difetto di sicurezza aperto o come risultato di un errore dell'utente.
Immagine in primo piano da Unsplash, grafico da TradingView.com ed Etherscan
Fonte: https://bitcoinist.com/hacker-exploits-opensea-bug-that-undervalue-nfts/