Hier lundi, des inconnus ont apparemment exploité un bug sur la place de marché NFT Opensea pour acheter des NFT à des prix nettement inférieurs à ceux affichés. Ils auraient ensuite revendu les NFT aux prix actuels et auraient ainsi pu empocher l’équivalent de plus d’un million d’euros de bénéfices, rapporte l’entreprise de sécurité blockchain Elliptic. Les inconnus se sont donc emparés de NFT des séries Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats et Cyberkongz NFT, dont les prix étaient parfois très élevés.
Au total, trois comptes ont été observés comme étant à l’origine de ce type de pillage, écrit Elliptic. Entre autres, quelqu’un sous le pseudonyme B1A22C a pu acheter le « Bored Ape Yacht Club NFT #9991 » pour 0,77 éther et le revendre vingt minutes plus tard pour 84,2 éthers, ce qui correspond à un bénéfice d’environ 179.000 euros.
Sommaire
L’attaquant a un peu dédommagé les victimes de l’attaque
Un compte nommé « jpegdegenlove » aurait quant à lui acheté sept NFT pour l’équivalent d’environ 117 000 euros et les aurait ensuite revendus pour 825 000 euros en éthers. Les éthers ainsi collectés auraient ensuite été transférés vers le service de mixage Tornado Cash, qui sert à dissimuler les flux de paiement. Deux des utilisateurs dépouillés de leurs valeurs de marché NFT ont toutefois indiqué avoir reçu des paiements de 20 et 13 éthers de la part de « jpegdegenlove » – sans doute en guise de compensation.
Un porte-parole d’Opensea a déclaré à Zdnet qu’il ne s’agissait « pas d’un bug ou d’une faille de sécurité ». Le problème résiderait dans une divergence entre ce qui est enregistré dans la blockchain Ethereum via Opensea et ce qui est visible sur le site web. Si un utilisateur souhaite supprimer une offre de vente enregistrée avec un certain prix, il doit en informer le réseau Ethereum avec une signature cryptographique et payer des frais de traitement en Ether au réseau. Opensea ne peut pas s’en charger à la place des utilisateurs, a souligné le porte-parole.
Annonce trompeuse
Certains utilisateurs tenteraient désormais de contourner les frais en transférant les NFT sur un autre portefeuille. Sur le site d’Opensea, il n’y aurait alors plus de listing à vendre. Et dans la confiance, les personnes concernées transfèrent à nouveau leurs NFT et les mettent à nouveau en vente. Mais les anciens listings peuvent encore être actifs, même s’ils ne sont pas visibles sur le site. L’API d’Opensea ou le service orders.rarible.com permettent de consulter les anciens référencements et de les utiliser. Celui qui consulte ces données aurait donc pu partir à la chasse aux bonnes affaires NFT sans que les vendeurs ne soient conscients du danger.
Le problème était connu depuis plusieurs semaines et Opensea l’avait signalé à plusieurs reprises sur Twitter, notamment le 31 décembre par un développeur issu du milieu NFT.
Le porte-parole d’Opensea a déclaré à Zdnet qu’il était conscient du problème et qu’il avait travaillé à des solutions. Et de promettre une amélioration : un nouveau tableau de bord devrait montrer clairement qu’il existe encore d’anciennes entrées. De même, les offres de vente ne devraient à l’avenir avoir qu’une durée d’un mois par défaut au lieu des six mois actuels. Les personnes concernées par l’attaque des bonnes affaires ont été contactées et seront remboursées de leur préjudice, a-t-on appris.