A OpenSea é o maior mercado de NFTs do mundo, sendo a plataforma para a compra e venda de diferentes coleções de sucesso dentro do setor. No entanto, para alguns a plataforma tem dado uma certa dor de cabeça, e agora uma vulnerabilidade permitiu que um ataque hacker “roubasse” mais de R$ 4 milhões, afetando principalmente vendas da coleção Bored Ape.
Os alertas começaram através das redes sociais, com perfis avisando que ao que tudo indica, uma vulnerabilidade no front-end do OpenSea permitiu que um hacker conseguisse roubar cerca de 332 Ethers, cerca de 4.3 milhões de reais.
It appears that @opensea has a front-end issue and the exploiter gained about 332 Etherhttps://t.co/35kCB1n7nv
— PeckShieldAlert (@PeckShieldAlert) January 24, 2022
Logo depois começaram os primeiros relatos de como o possível ataque hacker funciona.
Segundo alguns usuários, um bug no front-end do OpenSea permite que atacantes possam comprar coleções utilizando valores antigos de listagem, ou seja, é possível comprar NFTs bem abaixo do atual preço de uma coleção.
Usuário lamenta perda
Uma das principais coleções afetadas pelo exploit foi a famosa Bored Ape, com os hackers conseguindo pagar apenas 1700 dólares em NFTs que geralmente custam 200 mil dólares.
lol so there is an OPENSEA bug that lets you buy listings and old price … and they are going after alll ape owners. Bunch just got bought for under 25 eth. OPENSEA just rugging Bayc owners now
— Wizard Of SoHo (🍷,🍷) (@wizardofsoho) January 24, 2022
Um dos donos de um NFT Bored Ape foi ao Twitter para desabafar por ter “perdido” um de seus NFTs.
“Acabei de perder um Ape, caras… Eu estou chorando.. Como isso foi acontecer?
I just lost an ape guys…. I’m crying…. How did this just happen????😢😢😢😢😢😢😢😢😢😢😢😢😢😢😢
— TBALLER.eth (@T_BALLER6) January 24, 2022
TBallerr era dono do Ape 9991, que por causa do exploit do OpenSea foi vendido por apenas 0.77 Ethereum (cerca de US$ 1,7 mil), quase nada em relação ao preço mínimo da coleção, que gira em torno de 200 mil dólares.
Exploit
Ao que tudo indica o exploit funciona por causa de um atalho que alguns estavam usando na plataforma OpenSea. Quando um usuário quer remover um NFT da listagem, é preciso pagar uma taxa (às vezes uma taxa bem alta).
No entanto, como muitos não querem pagar essa taxa, adotaam um outro caminho: Eles enviavam o NFT para outro endereço e a listagem é removida automaticamente.
E é aqui que o problema começou: Apesar das listagens desaparecerem no OpenSea, a verdade é que ela ainda fica ativa através da API da plataforma. E foi justamente através dessas “listagens fantasmas” que muitos NFTs foram “roubados” de seus donos, sendo compradas por valores muito mais baixos do que o que realmente valiam.
Cancele listagens
O comprador do Ape de TBaller, identificado como jpegdegenlove, também conseguiu comprar o Bored Ape 8924 por 6.66 ETH e o 8274 por pouco menos de 23 ETH, cerca de US$ 64 mil.
O valor mercado de cada uma é, no mínimo 86 ETH, cerca de US$ 200 Mil. Ou seja, ele deixou um grande prejuízo para os antigos donos dos tokens.
No momento o melhor a se fazer para os colecionadores de NFT é garantir que nenhum NFT está listado para venda através desse exploit. Uma das formas de fazer isso é através do site orders.rarible.com, que usa o API do OpenSea e permite ver se existe alguma listagem das suas coleções e por qual valor está listado.
Para cancelar totalmente a listagem será necessário pagar taxas da rede, mas é melhor do que perder a sua coleção de vez.
