A falha do OpenSea, um mercado popular de NFT, existe há algumas semanas, tendo sido referida pelo menos já desde 1 de janeiro, mas a sua exploração só teve grande visibilidade agora. Segundo a empresa de analytics de blockchain Elliptic, o erro foi explorado pelo menos oito vezes em horas, permitindo aos piratas ‘roubar’ NFT com um valor de mercado de um milhão de dólares.
Numa das situações de que o The Verge dá conta, um cibercriminoso explorou a vulnerabilidade para comprar o NFT Bored Ape Yacht Club #9991 por 0,77 ETH (cerca de 1769 dólares) e revendeu-o rapidamente por 84,2 ETH (192400 dólares), gerando-lhe um lucro de 190 mil dólares, numa rápida fração de tempo. Este endereço Ethereum terá recebido mais de 400 ETH (904 mil dólares) referentes a transações semelhantes no OpenSea em 12 horas.
De acordo com alguns especialistas, a falha está numa dessincronização de informação entre os contratos inteligentes de NFT e a informação apresentada na interface de utilização do OpenSea, com os atacantes a tirar partido de dados antigos que persistem na blockchain, mas que não são visíveis para os utilizadores.
Para evitar taxas de cancelamento das listagens, muitos utilizadores têm optado por transferir os NFT de uma carteira para outra, o que acaba por deixar vestígios na plataforma que podem ser explorados desta forma.
A OpenSea não comentou a situação ainda e não se sabe se estará a investigar o tema como uma falha de segurança ou erro de utilizador.
