Actores maliciosos explotaron un bug en OpenSea que mantiene accesibles listados antiguos e inactivos que no fueron cancelados y permite a quien explote el fallo comprar NFT a precios más bajos, informó TheRecord el pasado lunes. Uno de los primeros en revelar el bug fue Rotem Yakir, desarrollador de DeFi en la compañía Orbs, quien explicó que este fallo permitía acceder a listas antiguas a través de la API, incluso si han sido eliminadas de la página principal, y alguien podría comprar activos al precio que tenían en ese momento.
** Urgent ** There is an @opensea devastating bug that will keep old listing and allow exploiters to buy the NFT using their API. Immediate action is to move your NFT to a new wallet or wallet without any previous listing. I will add a 🧵about it very soon
— Rotem Yakir 🍊 🌐 (@yakirrotem) January 24, 2022
Por su parte, la compañía de seguridad de blockchain, PeckShield, hacía referencia al fallo y mencionaba que los atacantes habían obtenido unos 332 ETH, cifra que equivalen a unos 745.000 dólares. Sin embargo, según informó el mismo lunes la compañía británica Elliptic, se identificaron al menos cinco atacantes que han explotado este fallo para comprar al menos 12 NFT por un valor menor al actual, entre ellos los NFT Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats y Cyberkongz. El valor de mercado de los NFT comprados abusando de este bug se estima que es de más de 1 millón de dólares.
Por ejemplo, el 24 de enero alguien compró un NFT de la colección Bored Ape Yacht Club por 0.77 ETH (equivalen a unos 1.800 dólares), que actualmente tienen un valor de aproximadamente 198.000 dólares, y minutos más tarde vendió el NFT por 84.2 ETH, que son aproximadamente 196.000 dólares, obteniendo una ganancia de unos 194.000.
Otro ejemplo que brindó la compañía fue el de un usuario de OpenSea que explotó el fallo para comprar un total de siete NFT por 133.000 y luego los vendió por el equivalente en ETH a 934.000 dólares. Luego, el usuario utilizó la plataforma Tornado Cash, un servicio utilizado para dificultar el seguimiento de transacciones de fondos en la blockchain.
Según Yakir, quien explicó en un hilo de Twitter los detalles técnicos de este bug, para asegurarse que usted está a salvo de este fallo puede verificar en orders.rarible.com y ver si sus listas previas aún están ahí, pero para estar a salvo de que no le afectará recomienda transferir sus NFT a una billetera diferente.
OpenSea actualizó un artículo en el que explica qué son las listas inactivas y cómo gestionarlas, y recuerda que la plataforma no puede crear o cancelar listas en nombre del usuario. Para poder cancelar una lista inactiva, el usuario debe ir a su perfil, seleccionar la pestaña listas y ahí elegir la opción inactivas. Asimismo, la plataforma anunció esta semana el lanzamiento de un nuevo administrador de listas.
Por último, un vocero de OpenSea dijo a Blockworks que están contactándose con los afectados de manera activa y reembolsando el dinero.
