Alla luce delle crescenti critiche e lamentele da parte della comunità delle criptovalute, uno dei più grandi mercati NFT, OpenSea, ha rimborsato circa 1,8 milioni di dollari agli utenti che sono stati colpiti dal recente hack sulla sua piattaforma.
Il 24 gennaio 2022, alcuni utenti di OpenSea hanno visto i loro preziosi NFT venduti a prezzi stracciati da hacker che hanno sfruttato un difetto nel processo di quotazione di OpenSea per acquistare quegli NFT con sconti di quasi il 98% e successivamente rivenderli a un prezzo molto più alto.
Il "bug" di OpenSea
Secondo un rapporto della società di analisi blockchain Elliptic, l'exploit di OpenSea è stato il risultato di un difetto nel modo in cui la piattaforma gestisce gli elenchi di asset sulla sua piattaforma.
OpenSea è basato sulla blockchain di Ethereum, nota per le sue scandalose commissioni sul gas. Pertanto, per ridurre l'importo speso per le transazioni, il mercato NFT gestisce la maggior parte delle sue funzioni fuori catena fino a quando tali transazioni non devono essere inviate alla blockchain per il regolamento.
Per elencare una risorsa, i fornitori di NFT sulla piattaforma dovranno firmare i dati fuori catena che confermano l'importo che desiderano vendere i loro NFT. Tuttavia, il problema sorge quando i fornitori decidono di inviare un messaggio alla blockchain per annullare l'elenco iniziale.
Per evitare di pagare le tariffe del gas, i venditori trasferiscono semplicemente l'NFT su un altro portafoglio, il che rende l'offerta iniziale non valida poiché l'NFT non è più su OpenSea.
Le cose si complicano quando i fornitori trasferiscono le risorse ai loro portafogli OpenSea, forse quando il valore dell'NFT è aumentato in modo significativo nel tempo. Questo perché l'elenco iniziale non è stato cancellato dalla blockchain e chiunque poteva acquistare l'NFT al prezzo iniziale, che era esattamente quello che hanno fatto gli autori.
Presumibilmente hanno scoperto questo difetto di progettazione nel sistema OpenSea ed hanno eseguito il loro attacco utilizzando un bot per scansionare la rete alla ricerca di NFT con ordini in sospeso di basso livello e li hanno acquistati.
Elliptic ha rivelato di aver identificato almeno cinque aggressori coinvolti nell'exploit, incluso l'utente jpegdegenlove che ha guadagnato almeno 340 Ether per un valore di oltre $ 800.000 a prezzi correnti dall'exploit.
OpenSea fa ammenda
A seguito dell'exploit, OpenSea ha lanciato un nuovo gestore di elenchi sulla piattaforma, che consente agli utenti di rivedere in modo efficace gli elenchi attivi e inattivi e un'opzione con un clic per annullare quelli inattivi.
Anche il mercato NFT ha contattato gli utenti interessati e li ha rimborsati. Parlando con Bloomberg , una delle vittime dell'attacco, Robert Garcia, ha detto che il suo Mutant Ape NFT è stato venduto per 4,7 Ether (circa $ 11.300) domenica.
Garcia ha notato di aver immediatamente inviato un'e-mail a OpenSea dopo la vendita non intenzionale e giovedì ha ricevuto una risposta da loro che gli offriva un rimborso di 13,8 Ether per un valore di oltre $ 35.000 ai prezzi correnti.