Door marktplaatsfout wordt voor ten minste 1 miljoen dollar aan NFT's onder de marktprijs verkocht

Een bug in de grootste NFT-marktplaats, OpenSea, stelde aanvallers in staat om ten minste $ 1 miljoen aan NFT's te kopen over meerdere verschillende portemonnees voor aanzienlijk onder de marktprijs, blockchain-analysebedrijf Elliptic zei op maandag.

Een non-fungible token (NFT) is een vorm van crypto-activa, die de eigendomsstatus van digitale bestanden op blockchain vastlegt. OpenSea is de grootste marktplaats voor speculanten en liefhebbers om hun NFT's te verhandelen, met een verkoopvolume ter waarde van 4,8 miljard dollar tot nu toe in januari.

Maar door een fout in de marktplaats konden gebruikers bepaalde NFT's kopen tegen prijzen waarvoor ze in het verleden waren genoteerd, zonder dat de eigenaar zich realiseerde dat ze nog steeds te koop waren.

OpenSea heeft niet onmiddellijk gereageerd op een verzoek om commentaar.

"De exploit lijkt voort te komen uit het feit dat het voorheen mogelijk was om een NFT opnieuw te noteren tegen een nieuwe prijs, zonder de vorige notering te annuleren," zegt Tom Robinson, chiefscientist en medeoprichter bij Elliptic.

"Die oude noteringen worden nu gebruikt om NFT's te kopen tegen prijzen die in het verleden zijn opgegeven - vaak ver onder de huidige marktprijzen."

Zo werd een NFT van een cartoonaap uit de Bored Ape Yacht Club-collectie, Bored Ape #9991, maandag gekocht voor 0,77 van de cryptocurrency ether (ongeveer 1.747 dollar), ondanks het feit dat dergelijke NFT's doorgaans honderdduizenden dollars opbrengen.

Bored Ape Yacht Club is een set van 10.000 algoritmisch gegenereerde cartoon ape NFT's gemaakt door het in de VS gevestigde bedrijf Yuga Labs.

Ongeveer 20 minuten nadat Bored Ape #9991 was gekocht voor 0,77 ether, werd het doorverkocht voor 84,2 ether (ongeveer $189.040), volgens blockchain records gezien op OpenSea, waardoor de koper een winst van meer dan $187.000 maakte.

De oorspronkelijke eigenaar van de NFT, die zichzelf op Twitter identificeerde als "TBALLER.eth" (@T_BALLER6), tweette hun schok over de transactie, waarvan ze zeiden dat ze die niet hadden geautoriseerd:

"Yooo guys! Idk wat er net gebeurd is door waarom is mijn aap net verkocht voor .77?????"

"Ik heb mijn aap helemaal niet op de lijst gezet.... Nu zie ik DM's dat hij verkocht is voor .77?????? Wtf??????"

Elliptic's Robinson zei dat hij tot nu toe acht NFT's had geïdentificeerd die op deze manier waren gestolen, van acht verschillende wallets, door drie aanvallers.

Eén persoon betaalde in totaal $133.000 voor zeven NFT's door misbruik te maken van de bug, om ze daarna snel door te verkopen voor $934.000, aldus Robinson.

Hij merkte op dat hoewel crypto-portemonnees meestal anoniem zijn, het mogelijk is dat de aanvallers worden geïdentificeerd als ze een beurs gebruiken om in fiatvaluta uit te betalen.

Terwijl beroemdheden, investeerders en topmerken massaal naar de NFT-markt stromen -- waar de verkoopvolumes en prijzen van sommige gewilde NFT's een oogverblindende groei hebben doorgemaakt -- kan de OpenSea-bug sommige kopers reden geven om te pauzeren.

OpenSea werd opgericht in 2017 en werd onlangs gewaardeerd op $ 13,3 miljard in zijn laatste ronde van venture funding.

Uit gegevens van Elliptic blijkt dat sinds 2020 2 miljard dollar is gestolen van gebruikers van gedecentraliseerde financiën (DeFi) via hacks.

"Het is niet gebruikelijk om marktplaatsbrede exploits te zien. We zien wel dat individuele gebruikers worden gehackt en dat hun NFT's worden gestolen, bijvoorbeeld via phishing-aanvallen, maar het is niet gebruikelijk om iets te zien dat potentieel de hele marktplaats beïnvloedt," voegde Robinson eraan toe.