La empresa de seguridad de blockchain Elliptic y varios usuarios de Twitter alertaron ayer sobre un fallo en OpenSea (una de las plataformas más famosas para vender Tokens No Fungibles) que estaba permitiendo a gente comprar NFT por debajo de su precio real y luego revenderlos mucho más caros. Y la plataforma de ventas de NFT ya ha anunciado que está contactando a los usuarios afectados y reembolsando el dinero.
Un usuario escribió en Twitter que su NFT (concretamente, este del link) fue comprado por un valor de unos 1.800 dólares de la criptodivisa Ethereum antes de ser revendido por 196.000 dólares.
El problema ha afectado a los NFT de los conocidos Bored Ape Yacht Club (los conocidos monos que suponen algunos de los activos de criptoarte más caros), Mutant Ape Yacht Club, Cool Cats y Cyberkongz. Hay que recordar que OpenSea también fue motivo de polémica hace poco por lo fácil que es plagiar obras de arte y venderlas en esta web como NFT.
Cómo fueron estas compraventas
De acuerdo con lo que descubrió Elliptic, "un atacante, bajo el seudónimo de 'jpegdegenlove' pagó 133.000 dólares por siete NFT, antes de venderlos rápidamente por 934.000 dólares (al cambio en ether). Cinco horas más tarde, este ether fue enviado a través de Tornado Cash, un servicio que se utiliza para evitar el rastreo de fondos en blockchain.
Otro atacante compró un solo NFT del Mutant Ape Yacht Club por 10.600 dólares, antes de venderlo cinco horas después por 34.800 dólares.
Esto ha sido posible, según lo que se ha comprobado hasta ahora, por un exploit dentro de la plataforma OpenSea que permite comprar NFT por precios del pasado, "que a menudo están muy por debajo de los precios actuales del mercado", ya que los NFT se pueden ir revalorizando con el paso del tiempo, según los expertos en seguridad que analizaron lo que estaba sucediendo.
El desarrollador de DeFi, Rotem Yakir, publicó un hilo en Twitter explicando el fallo de OpenSea, escribiendo que "se deriva del hecho de que anteriormente podías volver a listar un NFT sin cancelarlo (cosa que ahora no puedes) y todos los listados anteriores no se cancelan".En ese caso, aunque no aparezca en la interfaz del usuario, esos precios del pasado se mantienen como válidos.
Following my previous tweet (https://t.co/NInuTuIkgq), here is a 🧵about the @opensea bug. 1/
— Rotem Yakir 🍊 🌐 (@yakirrotem) January 24, 2022
Esto puede conseguirse utilizando servicios como https://orders.rarible.com o incluso la API del sistema operativo para poder acceder a los precios antiguos de los NFT dentro de OpenSea y comprar estos activos a esos precios. Dice Yakir que puedes comprobar en https://orders.rarible.com si tienes NFT listados con precios antiguos. Algo más que se puede hacer es transferir los NFT a un monedero diferente.
Las soluciones por parte de OpenSea
Un portavoz de OpenSea dijo a ZDNet que ha estado tratando de crear soluciones para el problema desde que se identificó. De todos modos, negaron que se tratara de un bug o una vulnerabilidad."Esto no es un exploit o un bug, sino es un problema que surge debido a la naturaleza del blockchain" y dice que cada uno de los usuarios tiene que cancelar sus propios listados de NFT cuando transfieren las NFT listadas a una cartera diferente.
Según OpenSea, el problema puede surgir cada vez que un usuario mueva una NFT a una cartera diferente sin cancelar los listados activos porque la transacción se publica en blockchain. La empresa añadió que está cambiando la duración por defecto de sus listados de 6 meses a 1 mes, de modo que si un NFT se transfiere de nuevo a un monedero después de 1 mes, el listado habrá expirado.
La plataforma tiene entre sus planes comenzar a notificar a los usuarios que tienen un listado de mayor precio aún activo cuando bajen el precio del mismo artículo. OpenSea ha dicho que está añadiendo un panel de control a los perfiles de los usuarios que muestra todos los anuncios inactivos y ofrece a los usuarios la oportunidad de cancelar cada anuncio con un solo clic.
Ver 4 comentarios