Hackean OpenSea y roban $780 mil USD en NFT Bored Apes

Una vulnerabilidad en OpenSea que ha permitido robar 332 ETH en Bored Apes.
La vulnerabilidad comenzó a ser explotada por un hacker y permitió a delincuentes comprar NFT muy por debajo de los precios en los que estaban siendo subastados.
Esta falla proviene de los Smart Contracts y fue aprovechada por, al menos, 8 hackers.

Una vulnerabilidad ha generado que un hacker haya podido comprar varios NFT valiosos en el mercado de OpenSea por unos pocos ETH, representando cientos de miles de dólares en pérdidas para sus propietarios originales ¿Que ocurrió?

Según los informes de Peck Shield, una empresa de cripto seguridad, alrededor de 332 ETH de valor fueron restados de las billeteras de los usuarios de OpenSea los cuales tenían abiertas las subastas para vender sus NFT Bored Apes.

It appears that @opensea has a front-end issue and the exploiter gained about 332 Etherhttps://t.co/35kCB1n7nv
— PeckShieldAlert (@PeckShieldAlert) January 24, 2022

Vulnerabilidad es explotada

La firma reveló que una vulnerabilidad comenzó a ser explotada por un hacker, la cual permitió a los presuntos delincuentes comprar NFT valiosos muy por debajo de los precios a los cuales estaban siendo vendidos.

Además, la puerta trasera pudo haber estado disponible por varias semanas, según la cripto-analista Elliptoc. En donde usuarios reportaban que sus Bored Apes habrían sido vendidos sin autorización de sus propietarios.

.@ACYCapital purchased my @BoredApeYC using the @opensea hack that allows a prior listed ape to be sold even once it’s been taken out of a wallet. I’m pleading for this ape to be returned. I’ll pay whatever fees were incurred.
— Carsonᵍᵐ 🍌🐺 (@carsonturner) January 1, 2022

Sin embargo, ha sido durante las últimas horas que los hackers han comenzado a aprovechar esta “oportunidad” más evidentemente y según Elliptoc, el error de OpenSea ha sido explotado por, al menos, 8 hackers.

Uno de los Bored Apes supuestamente robado fue el Bored Ape Yacht Club #9991, el cual fue adquirido por el hacker por tan solo 0.77 ETH alrededor los $8 mil dólares y rápidamente fue revendido a 84.2 ETH o cerca de los $200, mil USD al momento de escribir este contenido.

En adición, según las investigaciones de The Verge, la dirección de Ethereum a dónde fueron a parar los 84.2 ETH del supuesto robo del NFT ha recibido más de 400 ETH en las últimas 24 horas.

Vulnerabilidad Descubierta

Según la cuenta de Twitter oficial de Rotem Yakir, la puerta trasera aprovechada por los hackers de OpenSea se debe a la falta de coincidencia entre los Smart Contracts de la plataforma y lo que se muestra en la interfaz de usuario.

Es por ello que los posibles hackers podrían estar aprovechando este error y tomar los Smart Contracts antiguos almacenados en la blockchain de ETH, y cambiar el precio mostrado.

The signature is saved in @opensea's DB off-chain and when someone wants to buy your NFT, they will send to their smart contract your previously signed data where the signature and sale information (such as expiration & price) are validated on-chain before making the transfer 3/ pic.twitter.com/0U74LitOT2
— Rotem Yakir 🍊 🌐 (@yakirrotem) January 24, 2022

Según lo resaltado por Elliptoc, no todas las wallets que posean sus Bored Ape u otros NFT listados están en riesgo de ser víctimas de esta vulnerabilidad, pues solo los usuarios que quisieron evadir los costos de transacción al cambiar el precio de un NFT, transfiriendo el activo a otra wallet sin haber cancelado previamente la venta en OpenSea.

Así que, si has hecho esta “técnica” en OpenSea, tus NFT podrían estar en peligro, al menos hasta que OpenSea resuelva esta vulnerabilidad.

Errores y más errores en OpenSea

OpenSea es el mercado NFT más grande y famoso del mundo con más de $2,600 millones de dólares en volumen mensual promedio de transacciones.

Sin embargo, esta fama y los millones de usuarios que usan su plataforma ha generado que los errores, hackeos y hasta malas decisiones, como la censura de diferentes colecciones NFT, hayan comenzado a azotar a la plataforma. Por lo que, en el seno del cripto ecosistema se está debatiendo sobre el papel que está jugando OpenSea, y por ello otras opciones se han levantado como una alternativa a la dicha plataforma NFT, como por ejemplo Binance NFT o LooksRare.

Este último, se presenta así mismo como “la nueva generación de los mercados NFT”. En el cual, los usuarios son recompensados con el token $LOOKS cuando estos venden y compran sus NFT.

Desde su nacimiento, esta plataforma ha presentado un volumen de transacciones más elevado que la propia OpenSea, y ya cuenta con más de 20.000 usuarios activos.