OpenSea, la più grande e diffusa piattaforma di compravendita di NFT (Token Non Fungibili) al mondo, soffre di un bug, una vulnerabilità nel front-end che permette (e ha permesso) ad un utente malintenzionato di frodare i legittimi proprietari degli assets, acquistando NFT a vecchi prezzi di listino (sicuramente inferiori) per poi rivenderli a prezzi più elevati.
L’attaccante ha ottenuto l’accesso non autorizzato a NFT appartenenti alle collezioni Mutant Ape Yacht Club, Bored Ape Yacht club e Cool Cats, tutte particolarmente ricercate tra le collezioni di NFT. Questi sono stati immediatamente venduti con profitti netti per i malintenzionati, transitando per un wallet di criptovalute Ethereum su Etherscan, con un ricavo calcolato finora di circa 750 mila dollari.
Indice degli argomenti
I dettagli della truffa su OpenSea
L’incidente è stato segnalato dalla società di sicurezza PeckShield, che utilizza un sistema di allerta automatizzato per il rilevamento di minacce alla sicurezza in ambito blockchain: in un rapporto degli analisti, è stata stimata una perdita di 332 ETH dalle tasche dei proprietari delle opere.
Molti utenti su Twitter hanno confermato di aver perso i loro NFT a causa della violazione del front-end di OpenSea, incluso l’utente TBaller.eth a cui un NFT di Bored Ape Yacht Club è stato acquistato per soli 0,77 ETH, prezzo significativamente inferiore se si pensa all’iniziale di 86 ETH.
Benché l’allarme sia partito dalla segnalazione di PeckShield, il problema è stato inizialmente scoperto dallo sviluppatore di software della piattaforma DeFi Orbs, Rotem Yakir. Sul proprio profilo Twitter, lo stesso Yakir fa notare che mentre gli utenti possono mettere in vendita NFT su OpenSea e poi cancellare gli annunci aggiornandone il prezzo, l’annuncio NFT precedente con il vecchio prezzo sarebbe ancora accessibile tramite l’API OpenSea, anche se è stato di fatto rimosso dall’interfaccia web.
** Urgent ** There is an @opensea devastating bug that will keep old listing and allow exploiters to buy the NFT using their API. Immediate action is to move your NFT to a new wallet or wallet without any previous listing. I will add a 🧵about it very soon
— Rotem Yakir 🍊🏌️♂️ (@yakirrotem) January 24, 2022
Un problema già evidente
L’impatto di questo problema è notevole, ma ciononostante OpenSea non ha finora emesso alcun comunicato ufficiale sulla vicenda.
Inoltre, apparentemente, c’è stato un precedente exploit con caratteristiche simili in cui il bug consentiva l’acquisto di asset a prezzi fortemente scontati. Si parla di un problema che è stato segnalato già dal 31 dicembre scorso.
1/ Recently there's been an @opensea exploit that has allowed for assets to be purchased at greatly discounted prices, including 3 freshdrops passes, a BAYC https://t.co/8pEgeXkOBo, multiple MAYCs, and more. I did some research this morning and here's what's happening -> a 🧵👇
— cap10bad🍌 (@cap10bad) December 31, 2021
L’utente spiega che se qualcuno che utilizza OpenSea ha messo in vendita un NFT e in seguito ha deciso che non voleva che quell’annuncio fosse attivo, la piattaforma avrebbe addebitato la sua rimozione. Questo, tuttavia, può essere costoso, quindi gli utenti hanno trovato una soluzione alternativa nel trasferire l’NFT a un altro portafoglio che annulla effettivamente l’annuncio originale. Da qui i problemi di sicurezza della piattaforma.
Considerazioni finali
Al momento, OpenSea non ha fatto sapere se e quando farà fronte al problema, considerandolo tale. Questo potrebbe, legittimamente, far riflettere una grande fetta di proprietari NFT in gestione presso questa piattaforma, in quanto timorosi di trovare sottratto il proprio bene, con una corresponsione economica decisamente sotto le attese, almeno per quanto riguarda quelle attuali.
In effetti è proprio dai diretti interessati, in quanto vittime maggiori di questo bug, che nelle ultime settimane arriva l’idea di un 2022 all’insegna dell’NFT come tecnologia in grado di cambiare il modo in cui sperimentiamo il Web, marchiamo prodotti, acquistiamo e vendiamo opere d’arte e persino creiamo e sperimentiamo musica. Secondo Jace Kay, membro di Bored Ape Yacht Club, il 2022 sembra l’anno in cui la promessa del Web 3.0 e degli NFT decollerà per davvero.
Considerando che Bored Ape Yacht Club, obiettivo primario di questa campagna fraudolenta, è uno dei più noti gruppi (in quanto creatori) di successo nel mondo NFT, possiamo considerare come ponderato ciò di cui ipotizzano, nel caso davvero il 2022 si rivelasse preponderante in questo senso: vulnerabilità di questo genere e più nel complesso, l’approccio alla sicurezza delle piattaforme per questa tecnologia, devono essere tenute in seria considerazione e non sminuite.
In cyber sicurezza, appunto, l’impatto di una vulnerabilità è sempre commisurato a quanto è diffuso il “software” che ne è affetto; allo stesso modo, se una piattaforma è candidata a crescere o a diventare un prodotto di massa, con un’esplosione significativa nei prossimi 12 mesi, tanto da cambiare le nostre abitudini online, possiamo immaginare che gli impatti di problemi riguardanti la sua sicurezza, vadano rivisti con una nuova chiave di lettura.