Uma falha no maior mercado de NFT, o OpenSea, permitiu que invasores comprassem tokens a um preço abaixo do mercado com a intenção de revendê-los a um valor mais alto.
Invasores exploraram um bug no OpenSea que mantém as listas antigas e inativas que não foram canceladas acessíveis e permite que qualquer pessoa que explore a falha compre NFTs a preços abaixo do mercado, informou o portal TheRecord na última semana. Um dos primeiros a divulgar o bug foi Rotem Yakir, desenvolvedor do negócio de dinheiro descentralizado na Orbs, que explicou que essa falha permitia acessar a antigas listas através da API, mesmo que tivessem sido removidas da página principal, e que alguém pudesse comprar NFTs com os valores anteriores.
** Urgent ** There is an @opensea devastating bug that will keep old listing and allow exploiters to buy the NFT using their API. Immediate action is to move your NFT to a new wallet or wallet without any previous listing. I will add a 🧵about it very soon
— Rotem Yakir 🍊 🌐 (@yakirrotem) January 24, 2022
A empresa de segurança de blockchain PeckShield falou sobre a falha e mencionou que os invasores haviam obtido cerca de 332 ETH, o que equivale a mais ou menos US$ 745 mil. Entretanto, segundo informações da empresa britânica Elliptic, pelo menos cinco invasores foram identificados ao tentar comprar NFTs através da falha. O valor de mercado dos tokens comprados através da exploração desse bug é estimado em mais de US$ 1 milhão (R$ 5,49 milhões).
Por exemplo, em 24 de janeiro alguém comprou um NFT da coleção Bored Ape Yacht Club por 0,77 ETH (equivalente a cerca de US$ 1.800), que atualmente vale cerca de US$ 198 mil, e minutos depois vendeu o NFT por 84,2 ETH, que é cerca de US$ 196 mil, obtendo um lucro de quase US$ 194 mil.
Outro exemplo destacado pela empresa foi um usuário do OpenSea que explorou o bug para comprar um total de sete NFTs por US$ 133 mil e depois os vendeu pelo equivalente em ETH a US$ 934 mil. O usuário utilizou a plataforma Tornado Cash, um serviço usado para dificultar o rastreamento das transações de fundos na blockchain.
De acordo com Yakir, que explicou através do Twitter os detalhes técnicos desse bug, é importante acessar ao site order.rarible.com e verificar se suas listas anteriores ainda estão lá, mas para ter certeza de que você não será afetado, ele orienta transferir seus NFTs para uma carteira diferente.
O OpenSea atualizou um artigo no qual explica o que são listas inativas e como gerenciá-las, e destaca que a plataforma não pode criar ou cancelar listas em nome do usuário. Para cancelar uma lista inativa, o usuário deve ir ao seu perfil, selecionar a guia listas e escolher a opção inativas. A plataforma também anunciou o lançamento de um novo gerenciador de listas.
Um porta-voz do OpenSea disse ao portal Blockworks que estão contatando os usuários afetados para realizar o reembolso do dinheiro.
Discussão