Les escrocs semblent profiter d’un bogue OpenSea pour acheter des NFT de valeur à un prix considérablement moins cher que leur liste actuelle.
Plusieurs chercheurs et développeurs ont détaillé le problème persistant, certains affirmant que des NFT spécifiques d’une valeur de centaines de milliers de dollars ont été volés en exploitant le bogue de la plate-forme.
OpenSea Bug ouvre la plate-forme pour pirater
Selon des rapports, une faille dans le front-end de l’important marché de jetons non fongibles (NFT) OpenSea a entraîné un exploit qui permet aux utilisateurs d’acquérir des NFT populaires à leur prix d’inscription précédent.
Le problème semble prévaloir avec les objets de collection Bored Ape Yacht Club (BAYC) et Mutant Ape Yacht Club (MAYC) NFT, où l’exploitant a pu les acheter à leur prix d’origine et les revendre ensuite au prix actuel du marché. BAYC #9991, BAYC #8924 et MAYC #4986 font partie des NFT concernés.
Le piratage a été révélé après que le collectionneur NFT « TBALLER » a tweeté que leur rare Bored Ape #9991 s’était vendu pour une somme dérisoire de 0,77 ETH, soit 1 775 $ tôt lundi matin.
Yooo les gars ! Je ne sais pas ce qui vient de se passer, pourquoi mon singe vient-il de se vendre pour 0,77 ?????
– TBALLER.eth (@T_BALLER6) 24 janvier 2022
L’acheteur, qui s’appelle « jpegdegenlove », a renversé le singe NFT presque immédiatement pour 84,2 ETH, soit environ 200 000 $. L’utilisateur a pu retourner environ 332ETH (754 000 $).
Reported exploiter Ether wallet balance Source: Etherscan
PekShieldAlert – le bot d’alertes en temps réel de la société de sécurité populaire PeckShield – a alerté d’une faille frontale OpenSea plus tôt dans la journée, notant que l’exploité avait déjà obtenu 332 ETH d’une valeur d’environ 750 000 $ à l’époque.
Il semble que @opensea a un problème frontal et l’exploiteur a gagné environ 332 Etherhttps://t.co/35kCB1n7nv
– PeckShieldAlert (@PeckShieldAlert) 24 janvier 2022
Selon la société d’analyse de crypto-monnaie Elliptic, chez leaOpenSeast, trois attaquants ont acheté des NFT d’une valeur totale de marché d’un peu plus d’un million de dollars en utilisant la faiblesse depuis lundi matin. « En exploitant cette faille, un attaquant a payé aujourd’hui un total de 133 000 dollars pour sept NFT, avant de les revendre rapidement pour 934 000 dollars », lit-on sur le blog de l’entreprise.
Dans un Fil Twitter, Rotem Yakir, développeur de l’entreprise monétaire décentralisée Orbs.com, a expliqué la vulnérabilité. Selon Yakir, les personnes qui ont remis en vente leurs NFT sans les annuler, puis les ont vendus à un prix plus élevé pourraient les faire acheter à un prix moins cher grâce au problème.
Plus tôt dans la journée, le chercheur en sécurité Tal Be’ery a corroboré la découverte d’Elliptic et Yakir en affichage des données de la blockchain Ethereum confirmant que Bored Ape Yacht Club #8274 a été acheté en juillet pour 50 500 $ (22,9 ETH) et revendu pour environ 296 000 $. (130 ETH).
Article connexe | Qu’est-ce qui s’est mal passé dans le piratage de Crypto.com (CRO) ? Les experts pèsent
Cet exploit n’est pas nouveau
Un exploit antérieur le 31 décembre a été témoin d’un scénario similaire, dans lequel un problème semblait provenir du transfert d’actifs du portefeuille OpenSea vers un portefeuille séparé sans que la liste soit annulée.
Selon un utilisateur, si quelqu’un utilisant OpenSea mettait un NFT en vente et décidait plus tard qu’il ne voulait pas que cette publicité reste active, la plateforme facturerait sa suppression. Ceci, cependant, peut être coûteux, c’est pourquoi les utilisateurs ont conçu une solution de contournement où ils ont transféré le NFT vers un autre portefeuille, annulant ainsi la liste.
1/ Récemment il y a eu un @opensea exploit qui a permis d’acheter des actifs à des prix très réduits, y compris 3 pass freshdrops, un BAYC https://t.co/8pEgeXkOBo, plusieurs MAYC, et plus encore. J’ai fait quelques recherches ce matin et voici ce qui se passe -> un 🧵👇
— cap10bad.ΞTH | Freshdrops.io (@cap10bad) 31 décembre 2021
OpenSea n’a pas résolu le problème lorsqu’il a été signalé.
Article connexe | BitMart laisse les utilisateurs en lecture alors que les victimes de piratage attendent des remboursements
Les utilisateurs peuvent voir si leur annonce a été supprimée de Rarible, un autre marché NFT qui utilise l’API d’OpenSea. Selon l’utilisateur, la faille a été signalée après l’événement de décembre, mais aucune mesure n’a été prise pour la résoudre.
ETH/USD hovers above $2,400. Source: TradingView
Il convient de noter que ce problème est survenu à la suite de la conception prévue d’OpenSea, un service centralisé qui utilise des pièces décentralisées. Il est difficile de classer cela comme un hack ou même un bug. OpenSea informe les consommateurs que c’est ainsi que fonctionne son service, ce qui a donné lieu à de nombreuses arnaques. Le bogue OpenSea montre qu’il s’agit d’un marché bâclé, et si les utilisateurs ne sont pas prudents pour suivre les bonnes pratiques, ils peuvent être exploités par des utilisateurs plus avertis.
Il n’est actuellement pas clair si le bogue OpenSea est traité comme une faille de sécurité ouverte ou comme le résultat d’une erreur de l’utilisateur.
Featured image from Unsplash, chart from TradingView.com and Etherscan
