Un hacker è riuscito a sfruttare una falla nella piattaforma OpenSea che è stata segnalata più di 3 settimane fa. È stato in grado di comprare gli NFT a un prezzo inferiore e fare un profitto di 750.000 dollari
Una falla in OpenSea
Molti proprietari hanno riferito di aver visto i loro token non fungibili (NFT) della collezione Bored Ape Yacht Club venduti per molto meno del loro valore reale sulla piattaforma OpenSea.
Ho appena perso una scimmia ragazzi…. Sto piangendo…. Come è successo
– TBALLER.eth (@T_BALLER6) January 24, 2022
Un hacker sarebbe riuscito a sfruttare una falla nel frontend della piattaforma di trading OpenSea, permettendogli di comprare NFT per decine di migliaia di dollari in meno del loro prezzo floor (prezzo minimo di scambio).
Tballer, la persona che ha segnalato il furto sul suo account Twitter, ha visto il suo BAYC 8924 sono stati venduti per 23 ETH (circa 51.000 dollari) e 6,66 ETH (14.700 dollari), mentre il prezzo minimo attuale della collezione Bored Ape Yacht Club è di 200.000 dollari.
L’hacker ha anche comprato due Mutant Ape, una collezione secondaria della BAYC, così come un NFT Cool Cats e un NFT CyberKongz. In totale, questo gli ha fatto guadagnare 332 ETH, o circa 733.500 dollari.
Cronologia eventi per BAYC 9991 (Fonte: OpenSea)
L’acquirente misterioso si chiama “jpegdegenlove” ed è stato rinominato “OpenSea Opportunistic Buyer” su Etherscan.
Un bug nell’API della piattaforma
Quando un utente di OpenSea vuole cambiare il prezzo minimo di vendita di un NFT, la piattaforma gli addebiterà una tassa di cambio, che può essere abbastanza grande se il prezzo è stato cambiato più volte.
Tuttavia, alcuni venditori di NFT sono riusciti ad aggirare questo problema. Trasferiscono il NFT in questione in un altro portafoglio e poi lo rimandano al portafoglio originale in modo da poter cambiare il prezzo senza pagare di più.
Ma è qui che si crea la scappatoia. In effetti, l’ordine di vendita originale non è più visibile sulla piattaforma, ma rimane accessibile nell’Application Programming Interface (API) del sito, permettendo a un acquirente malintenzionato di accedere ai precedenti prezzi “invisibili”.
In concreto, il cambiamento è visibile sul frontend del sito, ma tutta la storia rimane accessibile sul backend.
Così, l’hacker è stato in grado di accedere ai listini precedenti attraverso la piattaforma Rarible e acquistarli ad un prezzo inferiore.
La falla era già stata segnalata tramite l’utente Twitter @cap10bad il 31 dicembre, ma il problema non sembra ancora essere stato risolto da OpenSea più di tre settimane dopo la sua scoperta.
OpenSea è ancora il leader del mercato degli NFT
La piattaforma di scambio NFT di OpenSea continua a guidare il mercato con un numero sempre crescente di utenti di circa 457.000 per l’inizio del 2022.
Utenti attivi mensili su OpenSea (Fonte: Dune Analytics)
Ha visto il suo volume di trading mensile raggiungere 3,24 miliardi di dollari nel solo mese di dicembre, mettendolo molto più avanti del suo principale concorrente Rarible, che ha visto “solo” 21 milioni di dollari di volume di trading sulla sua piattaforma nello stesso periodo.
La collezione Bored Ape Yacht Club non è stata scelta a caso durante questo hack. Infatti, sono gli NFT con il prezzo minimo più alto di qualsiasi collezione (attualmente 87,7 ETH, o circa 185.000 dollari).
La capitalizzazione di mercato delle BAYC vale attualmente 2,37 miliardi di dollari. Molte star hanno comprato gli NFT di BAYC, come Stephen Curry, Post Malone, Jimmy Fallon, Snoop Dogg o più recentemente il rapper Eminem.
