OpenSea ahora ha reembolsado 750 Ethereum, alrededor de $1.8 millones, a los usuarios que accidentalmente vendieron NFT valiosos a una tasa de mercado muy por debajo de su tasa de mercado a través de un exploit que involucra “listados inactivos”.

Recientemente, varios usuarios del mercado líder de NFTs se habían quejado de que sus NFTs de primera línea, como los que pertenecen a la colección Bored Ape Yacht Club (BAYC), se habían comprado a precios de listado antiguos y baratos. Estos listados nunca fueron cancelados en la cadena de bloques, a pesar de que la interfaz de usuario en OpenSea sugería que lo habían sido.

¿Cómo sucedió esto? Los compradores expertos en tecnología han estado utilizando servicios como Tornado Cash para canalizar dinero a direcciones de billetera criptográfica sin revelar la fuente y utilizando esos fondos para comprar NFT a precios de listado antiguos.

Este exploit no es nuevo. La cadena de bloques ethereum requiere que los usuarios paguen una tarifa de gas para ejecutar transacciones, incluida la cancelación de una lista en OpenSea que aún no ha expirado. Pero antes de que OpenSea implementara fechas de vencimiento seleccionables en los listados, muchos titulares de NFT tenían listados inactivos que no tenían fecha de vencimiento y, por lo tanto, requerían cancelación manual a través de una tarifa de gas pagada. Los anuncios caducados están bien, pero los anuncios inactivos representan un riesgo.

En un esfuerzo por evitar pagar las tarifas de gas de Ethereum, que a menudo pueden llegar a los cientos de dólares por una sola transacción, algunos propietarios de NFT encontraron una laguna. Si transfirieron el NFT a una billetera secundaria y luego regresaron a la primera billetera, la lista desapareció en la interfaz de usuario de OpenSea.

Pero en realidad, la lista simplemente había pasado de “activa” a “inactiva”. Y los listados inactivos aún pueden ser comprados por expertos en blockchain que interactúan directamente con los propios contratos inteligentes, no con la interfaz de usuario de OpenSea.

En respuesta, OpenSea lanzó una función de “listados inactivos” en su sitio de escritorio el 24 de enero. No respondieron a la solicitud anterior de comentarios de Decrypt.

A algunos titulares de BAYC OpenSea les dijo a principios de esta semana que se les reembolsaría algo de Ethereum por su pérdida. Tballer, quien perdió Ape #9991 por 0.77 ETH (alrededor de $1,700), le dijo a Decrypt el 25 de enero que sentía que recibió una “respuesta bastante lenta” de OpenSea, pero estaba “feliz de que me respondieran”.

“La comunidad [NFT] me ayudó a superar esto”, dijo Tballer a Decrypt. “La noche que sucedió estaba muy cerca de ir a casa y vender todo”.

El simio de Tballer ahora parece pertenecer a Juan Fdez, quien compró dos de los simios que fueron vendidos inadvertidamente. Fdez también tiene BAYC # 8924, que había sido deslizado por 6.66 ETH (alrededor de $17,000). Fdez no respondió a la solicitud de comentarios de Decrypt.

Si Tballer quiere recuperar a su simio, tendrá que pagar 130 ETH ($330,000).

El 26 de enero, OpenSea envió un correo electrónico a los propietarios de NFT con listados inactivos diciéndoles que “actúen con urgencia para cancelar cualquier listado inactivo”.

Estas instrucciones provocaron algunas preocupaciones, ya que el coleccionista de NFT Dingaling argumentó en un largo hilo de Twitter que el correo electrónico era “increíblemente irresponsable de su parte y empeora las cosas 100 veces. Esto en realidad hace que el exploit sea mucho más fácil de ejecutar”.

1/ WARNING: DO NOT CANCEL YOUR OS LISTINGS AS STATED IN THE EMAIL THAT OPENSEA JUST SENT OUT🚨🚨

Please FIRST transfer your NFT to a different address and cancel the listing/s on the original address BEFORE sending it back

OS just put everyone at even more risk than before🧵

— dingaling (@dingalingts) January 27, 2022

Simplemente diciéndoles a los usuarios que cancelen los listados inactivos uno por uno en el sitio web de OpenSea, en realidad permitió a los explotadores ejecutar compras en otros listados inactivos. Por ejemplo, el titular del Mutant Ape Yacht Club, Swolfchan, mantuvo a su Ape en su billetera principal y canceló un listado inactivo de 15 ETH. Después de eso, planearon cancelar un listado de 6 ETH.

Pero entre el tiempo que tardó Swolfchan en cancelar el primer listado inactivo y pasar al segundo, un explotador compró su Ape por el precio de 6 ETH.

Dingaling explicó que si Swolfchan transfirió al simio a otra billetera, luego canceló todos los listados, luego movió al simio de regreso a la billetera principal, habrían estado a salvo. Pero OpenSea no pareció proporcionar estas instrucciones en su correo electrónico inicial.

El cofundador de OpenSea, Alex Atallah, le dijo a Dingaling el 27 de enero que “solucionar este problema es nuestra prioridad # 1 de la compañía. Tenemos un equipo trabajando en ello y poniendo una contramedida ahora”.

En cuanto a cuáles podrían ser esas soluciones, el CTO de Ledger, Charles Guillemet, tiene algunas ideas: “Un diseño diferente podría haber evitado tal problema”, dijo a Decrypt. Guillemet argumenta que la interfaz de usuario en OpenSea debería haber sido más clara para los usuarios. “La transferencia del NFT no debería eliminar la orden de venta de la interfaz de usuario”, dijo.

Pagina Original:

OpenSea Refunds $1.8M in Ethereum to Users Who Lost NFTs From ‘Inactive Listing’ Exploit