Un bogue OpenSea permet aux attaquants d’arracher les singes aux propriétaires avec des remises à six chiffres

Un bogue dans OpenSea, le marché NFT populaire, a permis aux pirates d’acheter des NFT rares à un prix bien inférieur à la valeur marchande, entraînant dans certains cas des centaines de milliers de dollars de pertes pour les propriétaires d’origine – et des centaines de milliers de dollars de bénéfices pour l’apparente voleurs.

Le bogue semble être présent depuis des semaines et semble être référencé dans au moins un tweet du 1er janvier 2022. Mais l’exploitation du bogue a considérablement augmenté au cours de la dernière journée : la société d’analyse blockchain Elliptic a rapporté qu’en 12 heures avant le matin du 24 janvier, il avait été exploité au moins huit fois pour « voler » des NFT d’une valeur marchande de plus d’un million de dollars.

L’un des NFT, Ennuyé Ape Yacht Club # 9991, a été acheté en utilisant la technique de l’exploit pour 0,77 ETH (1 760 $) et rapidement revendu pour 84,2 ETH (192 400 $), rapportant à l’attaquant un bénéfice de plus de 190 000 $. Une Adresse Ethereum lié au revendeur avait reçu plus de 400 ETH (904 000 $) en paiements d’OpenSea au cours de la même période de 12 heures.

« C’est une chose subjective que vous considériez cela comme une échappatoire ou un bug, mais le fait est que les gens sont contraints de vendre à un prix qu’ils n’auraient pas autrement accepté en ce moment », a déclaré Tom Robinson, scientifique en chef et co -fondateur d’Elliptic.

Selon un Fil Twitter par le développeur de logiciels Rotem Yakir, le bogue est causé par une inadéquation entre les informations disponibles dans les contrats intelligents NFT et les informations présentées par l’interface utilisateur d’OpenSea. Essentiellement, les attaquants profitent d’anciens contrats qui persistent sur la blockchain mais ne sont plus présents dans la vue fournie par l’application OpenSea.

Les utilisateurs d’OpenSea vendent des NFT en fixant un « prix catalogue » que les acheteurs potentiels peuvent voir. En raison de la nature des contrats intelligents, si un acheteur accepte ce prix catalogue, le NFT lui est automatiquement transféré. Si un propriétaire souhaite réinscrire un NFT pour un prix de vente plus élevé, la bonne façon de procéder est d’annuler la première inscription, ce qui coûte un « frais de gaz » Cela pourrait représenter des dizaines, voire des centaines de dollars, de sorte que certains utilisateurs ont contourné cela en transférant le NFT vers un autre portefeuille, puis vers le portefeuille d’origine. Bien que cette technique ait apparemment supprimé la liste des informations de l’affichage frontal d’OpenSea, la liste d’origine est restée active sur la blockchain et aurait pu être trouvée via l’API OpenSea.

Le bogue a été découvert dès le 31 décembre 2021, selon CoinDesk. UNE tweeter d’il y a près de deux semaines, le 12 janvier 2022, détaille la vente forcée de NFT via la même méthode.

Il n’est pas clair si OpenSea traite la situation comme une faille de sécurité ouverte ou comme le résultat d’une erreur de l’utilisateur. La société n’a pas répondu à une demande de commentaire au moment de la publication.