Um hacker conseguiu explorar uma falha na plataforma OpenSea que foi reportada há mais de 3 semanas atrás. Conseguiu comprar NFT a um preço mais baixo e ter um lucro de $750.000
Uma falha no OpenSea
Muitos proprietários relataram ter visto as suas fichas não fungíveis (NFTs) da colecção Bored Ape Yacht Club venderem por muito menos do que o seu valor real na plataforma OpenSea.
Acabei de perder um macaco…. Estou a chorar…. Como é que isto acabou de acontecer
– TBALLER.eth (@T_BALLER6) Janeiro 24, 2022
Um hacker conseguiu alegadamente explorar uma falha no frontend da plataforma de negociação OpenSea, permitindo-lhe comprar NFTs por dezenas de milhares de dólares a menos do que o seu preço mínimo de negociação (preço mínimo de negociação).
Tballer, a pessoa que denunciou o roubo na sua conta do Twitter, viu o seu BAYC 8924 também foram vendidos por 23 ETH (cerca de $51.000) e 6,66 ETH ($14.700), enquanto que o preço baixo actual da colecção do Bored Ape Yacht Club é de $200.000.
O hacker também comprou dois macacos mutantes, uma colecção secundária do BAYC, bem como um NFT Cool Cats e um NFT CyberKongz. No total, isto rendeu-lhe 332 ETH, ou aproximadamente $733.500,
História de eventos para BAYC 9991 (Fonte: OpenSea)
O comprador misterioso é chamado “jpegdegenlove” e foi renomeado “OpenSea Opportunistic Buyer” no Etherscan.
Um bug na API da plataforma
Quando um utilizador OpenSea quer alterar o preço mínimo de venda de um NFT, a plataforma cobrar-lhe-á uma taxa de alteração, que pode ser bastante grande se o preço tiver sido alterado várias vezes.
No entanto, alguns vendedores da NFT conseguiram contornar este problema. Transferem o NFT em questão para outra carteira e depois enviam-no de volta para a carteira original para que possam alterar o preço sem pagar mais.
Mas é aqui que a lacuna é criada. Efectivamente, a ordem de venda original já não é visível na plataforma, mas permanece acessível na Interface de Programação de Aplicações (API) do sítio, permitindo a um comprador malicioso aceder aos preços anteriores “invisíveis”.
Em termos concretos, a mudança é visível no frontend do site, mas toda a história permanece acessível no backend.
Assim, o hacker pôde aceder a listas de preços anteriores através da plataforma Rarible e adquiri-las a um preço mais baixo.
A falha já tinha sido relatada via Twitter @cap10bad em 31 de Dezembro, mas o problema ainda não parece ter sido resolvido pela OpenSea mais de três semanas após a sua descoberta.
OpenSea ainda líder de mercado em NFTs
A plataforma de troca NFT da OpenSea continua a liderar o mercado com um número crescente de utilizadores de aproximadamente 457.000 para o início de 2022.
Mensalmente utilizadores activos no OpenSea (Fonte: Dune Analytics)
Só em Dezembro viu o seu volume de comércio mensal atingir 3,24 mil milhões de dólares, colocando-o muito à frente do seu principal concorrente Rarible, que viu “apenas” 21 milhões de dólares em volume de comércio na sua plataforma durante o mesmo período.
A colecção do Bored Ape Yacht Club não foi escolhida ao acaso durante este hack. De facto, são os NFT com o preço mais elevado de qualquer colecção (actualmente 87,7 ETH, ou cerca de $185.000).
A capitalização de mercado das BAYCs é actualmente de 2,37 mil milhões de dólares. Muitas estrelas compraram BAYC NFTs, tais como Stephen Curry, Post Malone, Jimmy Fallon, Snoop Dogg ou mais recentemente o rapper Eminem.
