Hechos clave:
-
Propietarios de Bored Apes Yacht, NFT con valor base de USD 230.000, resultaron afectados.
-
Open Sea dijo que se está contactando con las víctimas para reponer el diferencial de venta.
La plataforma Open Sea, uno de los mercados más populares para negociar tokens no fungibles (NFT), estaría tramitando el reembolso del dinero perdido por algunos de sus usuarios a causa de un bug en su plataforma. La información fue divulgada por The Block, quien citó como fuente a un portavoz de la compañía.
El vocero de Open Sea dijo que se están tomando muy en serio el problema y que han comenzado a contactar activamente a los propietarios de los NFT que resultaron perjudicados. Desde este lunes 24 de enero se conoció que la vulnerabilidad permitió a los atacantes comprar NFT por hasta 0,75% de su cotización de mercado. Open Sea se propone reponer el diferencial de la operación a los usuarios afectados.
Según el reporte de la empresa dedicada al análisis de blockchains, Elliptic, el error, que se habría producido por una interfaz de usuario confusa, fue explotado por al menos 5 atacantes, quienes se apropiaron de tokens por un valor superior a USD 1,1 millones. La firma dijo que, hasta el momento, 12 NFT fueron adquiridos en la plataforma Open Sea utilizando la falla en su interfaz.
Algunos de los usuarios afectados son propietarios de NFT de la colección Bored Ape Yacht Club (BAYC), en español, Club de Yates de Monos Aburridos. Se trata de tokens muy apreciados por los coleccionistas, cuyo valor base de mercado es de 93 ether (ETH), cerca de USD 230.000 a precio mercado actual.
Elliptic encontró que este lunes una de las piezas de la colección BAYC fue comprada por 0,77 ETH, unos USD 1.900, y vendida veinte minutos después por 84,2 ETH, más de USD 207.000. Solo en esta operación el atacante logró obtener un beneficio de USD 205.000.
Otros usuarios perjudicados por el exploit son propietarios de NFT pertenecientes a colecciones como, Mutant Ape Yacht Club, Cool Cats y CyberKongz.
¿En qué consiste el error?
La falla radica en que la plataforma mantiene activas ofertas antiguas creadas por los propietarios de los NFT. Esto ocurre concretamente cuando el usuario, en lugar de cancelar su vieja oferta, retira su NFT a una cartera personal.
Cabe destacar que dicha operación es bastante frecuente, ya que cancelar una oferta en Open Sea implica realizar una transacción en la cadena de bloques de Ethereum, y asumir las altas comisiones y posible congestión de la red.
Una vez que el propietario decide volver a poner a la venta su activo y lo transfiere desde su cartera personal a la misma cartera de Open Sea, la interfaz reconoce las antiguas condiciones de venta, incluyendo el precio, ya que la oferta anterior sigue activa. Este es el momento que el atacante aprovecha para comprar el NFT con un descuento masivo.
Open Sea dijo en su cuenta oficial de Twitter que, como medida para solventar la falla, lanzaron un nuevo administrador de listados, para evitar que resurjan las ofertas no canceladas por los usuarios. Además, la vigencia de las ofertas, antes de seis meses, se reduciría a un mes.
En septiembre de 2021 otro error en la plataforma Open Sea ocasionó que 42 NFT desaparecieran para siempre. CriptoNoticias informó en su momento que los activos, valorados en 28 ETH, y correspondientes a 21 cuentas, fueron enviados a carteras de activos quemados de la plataforma, lo que hizo imposible su recuperación.
Open Sea es una de las plataformas más grandes del ecosistema de los NFT. El mercado maneja un volumen mensual que alcanzó los USD 3,7 mil millones a principios de 2022.