Ya hace casi una semana del hackeo de OpenSea. El marketplace neoyorkino es famoso por su volumen de intercambios de NFT. Ahora ganará más popularidad en la comunidad cripto por su transparencia tras el ataque, además de por responder a las quejas de los afectados.
Lo ha hecho relativamente rápido, aunque muchos de los usuarios han tenido que expresar su malestar de forma explícita. En cualquier caso, OpenSea ha realizado un desembolso de 1.8 millones de dólares para tranquilizarlos.
Puede que esta cantidad suene a mucha pasta, pero hay quien sigue defendiendo en redes que es poca cosa para una plataforma que genera un volumen mensual de unos 3500 millones de dólares.
Menos da una piedra, a no ser que se tokenice. Mucho o poco, 1.8 millones es mejor que nada, sobre todo tras este hackeo tan devastador. El pasado 24 de enero, algunos usuarios de OpenSea vieron cómo sus NFT se compraban a precios irrisorios. La venta estaba siendo manipulada por hackers.
El ataque consiguió que los tokens no fungibles de los usuarios afectados se vendieran aplicando hasta un 98% de descuento. Luego, los atacantes se dedicaron a revenderlos a precios sensiblemente mayores.
Según un informe de Elliptic, los hackers aprovecharon un defecto del sistema de listado del marketplace y cómo OpenSea gestiona los activos. Tal y cómo expone el estudio de la compañía de análisis criptográfico, la plataforma ha intentado siempre ahorrarse al máximo las comisiones impuestas por la red Ethereum.
Para lograrlo, el marketplace neoyorquino procesa la mayoría de sus tareas fuera de la red. Uno de los procesos que se realizan off-chain es la firma de los vendedores antes del listado de NFT y la confirmación de los precios.
El problema de este método es que los vendedores pueden cancelar el listado de sus NFT enviando un mensaje a la plataforma. Los creadores de NFT recurren a esta práctica para ahorrarse el pago de comisiones transfiriendo sus activos a otro wallet. De esta forma, se invalida la oferta de los NFT, que desaparecen de OpenSea.
El siguiente paso es volver a mover los NFT de vuelta al marketplace. Lo habitual es que esperen a que el activo se revalorice durante el proceso. Aunque los NFT hayan salido de la plataforma, siguen estando presentes en la blockchain mientras se deslistan. En ese lapso de tiempo, los usuarios de la red pueden comprar el activo al precio de salida.
Este desfase es justamente el que aprovecharon los hackers para forrarse (uno de los atacantes se embolsó en torno a 340 ETH: unos 800k USD). Su ataque fue relativamente sencillo: usaron un bot para rastrear NFT en proceso de deslistado para comprarlos en la blockchain al precio inicial.