Fixing this issue is the NFT marketplace’s “1 priority,” says co-founder Alex Atalla.
OpenSea ha ora rimborsato 750 Ethereum, circa 1,8 milioni di dollari, agli utenti che accidentalmente hanno venduto NFT di valore a un prezzo molto inferiore a quello di mercato attraverso un exploit che coinvolge le “inserzioni inattive”.
Recentemente, diversi utenti del principale mercato di NFT si erano lamentati del fatto che i loro NFT blue chip, come quelli appartenenti alla collezione Bored Ape Yacht Club (BAYC), erano stati acquistati a vecchi prezzi di listino. Queste quotazioni non sono mai state cancellate sulla blockchain, anche se l’interfaccia utente di OpenSea suggeriva che lo fossero state.
Come è successo? Gli acquirenti esperti di tecnologia hanno utilizzato servizi come Tornado Cash per incanalare denaro in indirizzi di portafogli di criptovalute senza rivelare la fonte e utilizzando quei fondi per acquistare NFT a vecchi prezzi di quotazione.
Questo exploit non è nuovo. La blockchain di Ethereum richiede agli utenti di pagare una tassa per eseguire le transazioni, compresa la cancellazione di un annuncio su OpenSea che non è ancora scaduto. Ma prima che OpenSea implementasse date di scadenza selezionabili sulle inserzioni, molti possessori di NFT avevano inserzioni inattive che non avevano una data di scadenza e quindi richiedevano la cancellazione manuale tramite una tassa di gas pagata. Le inserzioni scadute vanno bene, ma le inserzioni inattive rappresentano un rischio.
Nel tentativo di evitare di pagare le tasse per il gas di Ethereum, che spesso possono raggiungere le centinaia di dollari per una singola transazione, alcuni proprietari di NFT hanno trovato una scappatoia. Se trasferivano l’NFT in un portafoglio secondario, e poi di nuovo nel primo portafoglio, l’annuncio scompariva sull’interfaccia utente di OpenSea.
Ma in realtà l’annuncio era semplicemente passato da “attivo” a “inattivo”. E gli annunci inattivi possono ancora essere acquistati da esperti di blockchain che interagiscono direttamente con i contratti intelligenti stessi, non con l’UI di OpenSea.
In risposta, OpenSea ha lanciato una funzione di “annunci inattivi” sul suo sito desktop il 24 gennaio. Non hanno risposto alla nostra precedente richiesta di commento.
Ad alcuni possessori di BAYC è stato detto da OpenSea all’inizio di questa settimana che sarebbero stati rimborsati alcuni Ethereum per la loro perdita. Tballer, che ha perso Ape 8924, che era stato fregato per 6,66 ETH (circa 17.000 dollari). Fdez non ha risposto alla nostra richiesta di commento.
Se Tballer rivuole il suo Ape, dovrà pagare 130 ETH ($330.000).
L’Ape di Tballer ha un nuovo proprietario.
Il 26 gennaio, OpenSea ha inviato un’email ai proprietari di NFT con inserzioni inattive dicendo loro di “agire urgentemente per cancellare tutte le inserzioni inattive”.
Queste istruzioni hanno scatenato alcune preoccupazioni, in quanto il collezionista di NFT Dingaling ha sostenuto in un lungo thread su Twitter che l’e-mail era “incredibilmente irresponsabile da parte loro e rende le cose 100 volte peggio. Questo in realtà rende l’exploit molto più facile da eseguire. “
1/ ATTENZIONE: NON CANCELLATE I VOSTRI ELENCHI OS COME INDICATO NELL’EMAIL CHE OPENSEA HA APPENA INVIATO
Per favore, PRIMA trasferite il vostro NFT ad un indirizzo diverso e cancellate le inserzioni sull’indirizzo originale PRIMA di rimandarlo indietro
OS ha appena messo tutti a ancora più rischio di prima
– dingaling (@dingalingts) January 27, 2022
Dicendo semplicemente agli utenti di cancellare le inserzioni inattive una ad una sul sito di OpenSea, ha permesso agli sfruttatori di eseguire acquisti su altre inserzioni inattive. Per esempio, Swolfchan, titolare del Mutant Ape Yacht Club, ha tenuto la sua Ape nel suo portafoglio principale e ha cancellato un annuncio inattivo di 15 ETH. Dopo di che, hanno pianificato di cancellare una quotazione da 6 ETH.
Ma tra il tempo che Swolfchan ha impiegato per cancellare la prima quotazione inattiva e passare alla seconda, uno sfruttatore ha acquistato la sua Ape al prezzo di 6 ETH.
Dingaling ha spiegato che se Swolfchan ha trasferito l’Ape in un altro portafoglio, poi ha cancellato tutte le quotazioni, quindi ha spostato l’Ape di nuovo nel portafoglio principale, sarebbero stati al sicuro. Ma OpenSea non sembra aver fornito queste istruzioni nella sua e-mail iniziale.
Il co-fondatore di OpenSea, Alex Atallah, ha detto a Dingaling il 27 gennaio che “risolvere questo problema è la nostra priorità numero 1. Abbiamo un team che ci sta lavorando e che sta mettendo in piedi una contromisura ora”.
Per quanto riguarda quali potrebbero essere queste soluzioni, il CTO di Ledger Charles Guillemet ha alcune idee: “Un design diverso avrebbe potuto evitare un tale problema”, ci ha detto. Guillemet sostiene che l’UI di OpenSea avrebbe dovuto essere più chiara per gli utenti. “Il trasferimento dell’NFT non dovrebbe rimuovere l’ordine di vendita dall’UI”, ha detto.
