OpenSea remboursera les personnes affectées par une échappatoire utilisée pour acheter des NFT en dessous de la valeur marchande

OpenSea contacte et rembourse les utilisateurs touchés par une faille qui permet aux gens d’acheter des NFT pour une fraction de leur coût réel et de les revendre pour des milliers.

Lundi, la société de sécurité blockchain Elliptic et plusieurs utilisateurs de Twitter parlé du bogue. La carte mère a été la première à signaler l’incident.

Elliptic a déclaré avoir “identifié au moins trois attaquants qui ont acheté au moins huit NFT pour bien moins que leur valeur marchande au cours des 12 dernières heures”. Le problème concerne Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats et Cyberkongz NFT.

Un utilisateur a écrit sur Twitter que son NFT avait été acheté pour environ 1 800 dollars de la crypto-monnaie Ethereum avant d’être revendu pour 196 000 dollars.

Yooo les gars ! Je ne sais pas ce qui vient de se passer, pourquoi mon singe vient-il de se vendre pour 0,77 ?????

– TBALLER.eth (@T_BALLER6) 24 janvier 2022

“Un attaquant, sous le pseudonyme” jpegdegenlove “a payé aujourd’hui un total de 133 000 dollars pour sept NFT – avant de les revendre rapidement pour 934 000 dollars en éther. Cinq heures plus tard, cet éther a été envoyé via Tornado Cash, un service de” mélange “qui est Jpegdegenlove semble également avoir partiellement indemnisé deux de leurs victimes en envoyant 20 ETH (45 000 $) à TBALLER et 13 ETH (30 000 $) à Vault 327. Un autre attaquant a acheté un seul Mutant Ape Yacht Club NFT pour 10 600 $ , avant de le revendre cinq heures plus tard pour 34 800 $”, a expliqué Elliptic.

“Le exploit semble provenir de la possibilité de réinscrire un NFT à un nouveau prix, sans annuler l’inscription précédente. Ces listes précédentes sont maintenant utilisées pour acheter des NFT à des prix spécifiés à un moment donné dans le passé – qui sont souvent bien inférieurs aux prix actuels du marché. »

Développeur DeFi Rotem Yakir publié un fil de discussion détaillé sur Twitter expliquant le bogue OpenSea, écrivant qu’il « découle du fait qu’auparavant, vous pouviez réinscrire un NFT sans l’annuler (ce que vous ne pouvez pas maintenant) et que toutes les listes précédentes ne sont pas annulées en chaîne. “

“Auparavant, vous pouviez réinscrire un NFT sans annuler la liste précédente. Parfois, mais pas toujours, si vous annulez votre nouvelle liste, l’ancienne n’apparaîtra pas sur l’interface utilisateur mais reste valide”, a déclaré Yakir.

“En utilisant des services comme https://orders.rarible.com ou même l’API OS, quelqu’un peut obtenir l’ancienne liste et continuer à l’utiliser. Pour vous assurer que vous êtes en sécurité, vous pouvez vérifier sur https://orders.rarible.com et voir si votre liste précédente est toujours là. Cependant, si vous voulez être sûr à 100 %, transférez simplement votre NFT vers un autre portefeuille.

Un porte-parole d’OpenSea a déclaré ZDNet qu’il a essayé de créer des solutions au problème depuis qu’il a été identifié. Ils ont également nié qu’il s’agissait d’un bogue ou d’une vulnérabilité.

“Depuis que ce problème a été identifié, nous l’avons pris extrêmement au sérieux et avons travaillé pour fournir des solutions de produits à la communauté. Ce n’est pas un exploit ou un bogue – c’est un problème qui survient en raison de la nature de la blockchain. OpenSea ne peut pas annuler annonces au nom des utilisateurs. Au lieu de cela, les utilisateurs doivent annuler leurs propres annonces “, a déclaré le porte-parole.

“C’est la priorité d’OpenSea d’informer les utilisateurs de toutes leurs listes, et nous travaillons sur un certain nombre d’améliorations de produits pour résoudre ce problème, y compris un tableau de bord où ils peuvent facilement voir et annuler les listes. De plus, nous avons activement contacté et rembourser les utilisateurs concernés. Nous n’avons pas communiqué largement sur ce problème car nous ne voulions pas risquer de le porter à l’attention de mauvais acteurs qui pourraient en abuser à grande échelle avant que nous ayons mis en place des mesures d’atténuation.

ZDNet n’a pas pu confirmer si les utilisateurs ont été remboursés. Le porte-parole d’OpenSea a déclaré qu’il s’agissait d’un problème “d’interface utilisateur déroutante” qui se pose lorsque les utilisateurs créent des listes, puis transfèrent le NFT répertorié vers un autre portefeuille.

Lorsqu’un utilisateur transfère des articles hors de son portefeuille tiers, la liste qu’il a créée pour l’article ne s’annule pas automatiquement et ne peut pas être annulée directement par OpenSea car elle oblige l’utilisateur à signer pour l’annulation dans son portefeuille, a expliqué le porte-parole. OpenSea n’est pas la seule plate-forme concernée par le problème, a expliqué la plate-forme NFT.

Selon OpenSea, le problème peut survenir à chaque fois qu’un utilisateur déplace un NFT vers un autre portefeuille sans annuler les listes actives car la transaction est publiée sur la blockchain.

La société a ajouté qu’elle était en train de modifier sa durée de cotation par défaut de 6 mois à 1 mois, de sorte que si un NFT est transféré dans un portefeuille après 1 mois, la cotation aura expiré.

Ils prévoient également d’informer les utilisateurs qu’ils ont une liste plus chère toujours active lorsqu’ils baissent le prix du même article. OpenSea a déclaré qu’il ajoutait un tableau de bord aux profils d’utilisateurs qui affiche toutes les listes inactives et donne aux utilisateurs la possibilité d’annuler chaque liste en un seul clic.

Au cours des deux prochains jours, la société prévoit d’intégrer une autre fonctionnalité qui affichera des notifications dans le produit concernant les listes actives et demandera si les utilisateurs souhaitent l’annuler lorsqu’ils transfèrent un NFT auquel une liste active est associée hors de leur portefeuille. Les utilisateurs recevront également un e-mail d’OpenSea lorsqu’ils transfèrent un NFT dans un portefeuille avec une liste active pour ce NFT.