Fixer ce problème est la » priorité n°1 » de la place de marché des NFT, déclare le cofondateur Alex Atalla.
OpenSea a maintenant remboursé 750 Ethereum, soit environ 1,8 million de dollars, aux utilisateurs qui ont accidentellement vendu des NFT de valeur à un prix bien inférieur à celui du marché grâce à un exploit impliquant des « listes inactives ».
Récemment, plusieurs utilisateurs de la principale place de marché de NFT se sont plaints que leurs NFT de premier ordre, tels que ceux appartenant à la collection Bored Ape Yacht Club (BAYC), avaient été achetés à d’anciens prix d’inscription bon marché. Ces inscriptions n’ont jamais été annulées sur la blockchain, même si l’interface utilisateur d’OpenSea laissait entendre qu’elles l’avaient été.
Comment cela s’est-il produit ? Des acheteurs avisés ont utilisé des services tels que Tornado Cash pour transférer de l’argent dans des portefeuilles cryptographiques sans en révéler la source et utiliser ces fonds pour acheter des NFT à d’anciens prix d’inscription.
Cet exploit n’est pas nouveau. La blockchain Ethereum exige que les utilisateurs paient des frais de gaz pour exécuter des transactions, y compris pour annuler une inscription sur OpenSea qui n’a pas encore expiré. Mais avant qu’OpenSea ne mette en place des dates d’expiration sélectionnables pour les annonces, de nombreux détenteurs de NFT avaient des annonces inactives qui n’avaient pas de date d’expiration et devaient donc être annulées manuellement en payant des frais de gaz. Les annonces expirées sont bien, mais les annonces inactives présentent un risque.
Afin d’éviter de payer les frais de gaz Ethereum, qui peuvent souvent atteindre des centaines de dollars pour une seule transaction, certains propriétaires de NFT ont trouvé une échappatoire. S’ils transféraient le NFT vers un portefeuille secondaire, puis de nouveau vers le premier portefeuille, le listing disparaissait sur l’interface utilisateur d’OpenSea.
Mais en réalité, le listing était simplement passé de « actif » à « inactif ». Et les annonces inactives peuvent toujours être achetées par des experts en blockchain qui interagissent directement avec les smart contracts eux-mêmes, et non avec l’interface utilisateur d’OpenSea.
En réponse, OpenSea a mis en place une fonction « annonces inactives » sur son site de bureau le 24 janvier. La société n’a pas répondu à notre précédente demande de commentaire.
Certains détenteurs de BAYC ont été informés par OpenSea en début de semaine qu’ils seraient remboursés en Ethereum pour leur perte. Tballer, qui a perdu Ape 8924, qui a été échangé pour 6,66 ETH (environ 17 000 $). Fdez n’a pas répondu à notre demande de commentaire.
Si Tballer veut récupérer son Ape, il devra payer 130 ETH (330 000 $).
L’Ape de Tballer a un nouveau propriétaire.
Le 26 janvier, OpenSea a envoyé un e-mail aux propriétaires de NFT dont les annonces sont inactives, leur demandant « d’agir de toute urgence pour annuler toute annonce inactive ».
Ces instructions ont suscité quelques inquiétudes, car le collecteur NFT Dingaling a fait valoir dans un long fil de discussion sur Twitter que l’e-mail était « incroyablement irresponsable de leur part et rend les choses 100x pires. En fait, cela rend l’exploit beaucoup plus facile à exécuter »
1/ AVERTISSEMENT : N’ANNULEZ PAS VOS LISTINGS OS COMME INDIQUÉ DANS L’EMAIL QU’OPENSEA VIENT D’ENVOYER.
Veuillez d’abord transférer votre NFT à une autre adresse et annuler le(s) listing(s) sur l’adresse d’origine AVANT de le renvoyer.
OS vient de mettre tout le monde encore plus en danger qu’avant
– dingaling (@dingalingts) 27 janvier 2022
En demandant simplement aux utilisateurs d’annuler les annonces inactives une par une sur le site Web d’OpenSea, il permettait en fait aux exploitants d’effectuer des achats sur d’autres annonces inactives. Par exemple, Swolfchan, détenteur du Mutant Ape Yacht Club, a conservé son Ape dans son portefeuille principal et a annulé une liste inactive de 15 ETH. Ensuite, il a prévu d’annuler un listing de 6 ETH.
Mais entre le moment où Swolfchan a annulé la première liste inactive et celui où il est passé à la seconde, un exploiteur a acheté son Ape au prix de 6 ETH.
M. Dingaling a expliqué que si Swolfchan avait transféré l’Ape vers un autre porte-monnaie, puis annulé toutes les inscriptions, avant de déplacer à nouveau l’Ape vers le porte-monnaie principal, ils auraient été en sécurité. Mais OpenSea ne semble pas avoir fourni ces instructions dans son premier courriel.
Le cofondateur d’OpenSea, Alex Atallah, a déclaré à Dingaling le 27 janvier que « la résolution de ce problème est la première priorité de notre entreprise. Nous avons une équipe qui y travaille et qui met en place une contre-mesure dès maintenant ».
Quant à ce que ces solutions pourraient être, le directeur technique de Ledger, Charles Guillemet, a quelques idées : « Une conception différente aurait pu éviter un tel problème », nous a-t-il dit. Guillemet soutient que l’interface utilisateur sur OpenSea aurait dû être plus claire pour les utilisateurs. « Transférer le NFT ne devrait pas supprimer l’ordre de vente de l’interface utilisateur », a-t-il déclaré.
