OpenSea reembolsará pessoas afetadas por brecha usada para comprar NFTs abaixo do valor de mercado
A Elliptic disse que identificou pelo menos três pessoas que ganham mais de US$ 1 milhão com a venda de NFTs por uma fração do que valem.
A OpenSea está entrando em contato e reembolsando usuários afetados por uma brecha que permite às pessoas comprar NFTs por uma fração de seu custo real e revendê-los por milhares.
Na segunda-feira, a empresa de segurança blockchain Elliptic e vários usuários do Twitter falaram sobre o bug. Motherboard foi a primeira a relatar o incidente.
A Elliptic disse que “identificou pelo menos três invasores que compraram pelo menos oito NFTs por muito menos do que seu valor de mercado nas últimas 12 horas”. O problema afeta Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats e Cyberkongz NFTs.
Um usuário escreveu no Twitter que sua NFT foi comprada por cerca de US$ 1.800 da criptomoeda Ethereum antes de ser revendida por US$ 196.000.
“Um invasor, usando o pseudônimo ‘jpegdegenlove’ hoje pagou um total de US$ 133.000 por sete NFTs – antes de vendê-los rapidamente por US$ 934.000 em ether. Cinco horas depois, esse ether foi enviado através do Tornado Cash, um serviço de ‘mixagem’ que é usado para impedir o rastreamento de fundos de blockchain. Jpegdegenlove também parece ter compensado parcialmente duas de suas vítimas – enviando 20 ETH (US $ 45.000) para TBALLER e 13 ETH (US $ 30.000) para Vault327. Outro invasor comprou um único Mutant Ape Yacht Club NFT por US $ 10.600 , antes de vendê-lo cinco horas depois por US$ 34.800”, explicou Elliptic.
“A exploração parece se originar da capacidade de listar novamente uma NFT a um novo preço, sem cancelar a listagem anterior. Essas listagens anteriores agora estão sendo usadas para comprar NFTs a preços especificados em algum momento no passado – o que geralmente é bem abaixo dos preços de mercado atuais.”
O desenvolvedor do DeFi, Rotem Yakir, lançou um tópico detalhado no Twitter explicando o bug do OpenSea, escrevendo que “decorre do fato de que anteriormente você poderia re-listar um NFT sem cancelá-lo (o que você não pode agora) e todas as listas anteriores não são cancelado na cadeia.”
“Antes, você poderia re-listar uma NFT sem cancelar a lista anterior. Às vezes, mas nem sempre, se você cancelar sua nova listagem, a antiga não aparecerá na interface do usuário, mas ainda é válida”, disse Yakir.
“Usando serviços como https://orders.rarible.com ou mesmo a API do SO, alguém pode obter a listagem antiga e ainda usá-la. Para garantir que você está seguro, você pode verificar https://orders.rarible.com e ver se sua listagem anterior ainda estiver lá. No entanto, se você quiser estar 100% seguro, basta transferir sua NFT para uma carteira diferente.”
Um porta-voz da OpenSea disse ao ZDNet que está tentando criar soluções para o problema desde que foi identificado. Eles também negaram que fosse um bug ou vulnerabilidade.
“Desde que esse problema foi identificado, levamos isso muito a sério e trabalhamos para enviar soluções de produtos para a comunidade. Isso não é uma exploração ou um bug – é um problema que surge devido à natureza do blockchain. OpenSea não pode cancelar listagens em nome dos usuários. Em vez disso, os usuários devem cancelar suas próprias listagens”, disse o porta-voz.
“É prioridade da OpenSea conscientizar os usuários de todas as suas listagens, e estamos trabalhando em várias melhorias de produtos para resolver isso, incluindo um painel onde eles podem ver e cancelar facilmente as listagens. Além disso, estamos entrando em contato ativamente com e reembolsar os usuários afetados. Não nos comunicamos amplamente sobre esse problema porque não queríamos arriscar chamar a atenção de maus atores que poderiam abusar dele em grande escala antes que tivéssemos mitigações em vigor.”
O ZDNet não pôde confirmar se os usuários foram reembolsados. O porta-voz do OpenSea disse que é um problema de “interface de usuário confusa” que surge quando os usuários criam listagens e depois transferem o NFT listado para uma carteira diferente.
Quando um usuário transfere itens de sua carteira de terceiros, a listagem que ele criou para o item não é cancelada automaticamente e não pode ser cancelada diretamente pela OpenSea porque exige que o usuário assine o cancelamento em sua carteira, explicou o porta-voz. O OpenSea não é a única plataforma afetada pelo problema, explicou a plataforma NFT.
De acordo com a OpenSea, o problema pode surgir sempre que um usuário mover uma NFT para uma carteira diferente sem cancelar as listagens ativas porque a transação é postada no blockchain.
A empresa acrescentou que está em processo de alterar a duração padrão da listagem de 6 meses para 1 mês, de modo que, se uma NFT for transferida de volta para uma carteira após 1 mês, a listagem terá expirado.
Eles também planejam notificar os usuários de que eles têm uma listagem de preço mais alto ainda ativa quando baixarem o preço do mesmo item. A OpenSea disse que está adicionando um painel aos perfis de usuários que mostra todas as listagens inativas e dá aos usuários a oportunidade de cancelar cada lista com um único clique.
Nos próximos dois dias, a empresa planeja integrar outro recurso que exibirá notificações no produto sobre listagens ativas e perguntará se os usuários desejam cancelá-lo quando transferirem de sua carteira uma NFT que tenha uma listagem ativa associada a ela. Os usuários também receberão um e-mail do OpenSea quando transferirem um NFT para uma carteira com uma listagem ativa para esse NFT.
Fonte: https://www.zdnet.com/