Ciberdelincuentes aprovechan un fallo de OpenSea para hacerse con NFT a un precio muy inferior del que marca el mercado: han robado ya cerca de un millón de dólares

Un fallo en OpenSea, uno de los mercados en línea de NFT (tokens no fungibles, por sus siglas en inglés) más conocidos del mundo, ha permitido a algunos usuarios comprar NFT por precios muy inferiores a los que marca actualmente el mercado.

Estos han sido revendidos inmediatamente después en unas operaciones que han supuesto ya al menos casi un millón de dólares para quienes están aprovechando esta brecha en la seguridad del portal.

El fallo parece haber afectado por el momento a los coleccionables Bored Ape Yacht Club (BAYC) y Mutant Ape Yacht Club (MAYC).

Según informa el medio Cointelegraph, los supuestos hackers han logrado comprarlos a su antiguo precio de cotización y luego venderlos al precio actual de mercado. Los NFT afectados son, al menos, BAYC #9991, BAYC #8924 y MAYC #4986, 

La luz de alarma ha saltado en la mañana de este lunes, cuando webs como el blog de Elliptic, una empresa especializada en blockchain y criptoactivos, han alertado de la brecha abierta en OpenSea.

En concreto, Elliptic ha hablado de "un fallo en el mercado de NFT OpenSea que desde este lunes está siendo explotado". 

Un hombre de 32 años gana 1 millón de dólares vendiendo 67 NFT que creó desde su habitación mientras estaba confinado: estos son los pasos y el software que utilizó para crearlos

Las herramientas de Elliptic por ahora han permitido identificar al menos a 3 atacantes que han aprovechado el error en OpenSea para comprar 8 NFT por mucho menos de su valor de mercado en las últimas 12 horas. 

Uno de ellos, por ejemplo, ha pagado este lunes un total de 130.000 dólares por siete antes de venderlos por algo más de 930.000 dólares, ha detallado Elliptic.

De igual modo, la NFT #9991 de Bored Ape Yacht Club ha sido adquirida por 0,77 ethereum (unos 1.800 dólares) por alguien que, veinte minutos después, vendió la NFT por 84,2 ethereum (196.000 dólares). Un beneficio de 194.000 dólares en menos de media hora.

El fallo en el sistema de OpenSea parece guardar relación, explica Cointelegraph, con una situación denunciada el pasado 31 de diciembre. 

Esta nace de fallos en la transferencia de activos de la cartera de OpenSea a diferentes carteras y ha sido explicado por el usuario de Twitter @cap10bad, que se define en esta red social como un apasionado de las NFT.

OpenSea, explica este experto, cobra a quienes hacen uso de su marketplace importantes tasas por retirar de él su NFT una vez deciden que no lo quieren vender o que no van a sacar por él el precio que desean.

Se trata, como ha aclarado este mismo lunes este usuario, de tasas que guardan relación con la energía que consume retirar el activo del blockchain.

Para evitarlas, muchos usuarios, en vez de retirar su NFT directamente, lo transfieren a otra cartera antes de llevar de nuevo el NFT a la cartera original. 

3 expertos en NFT desvelan cómo podría Hollywood dar un impulso al contenido y la audiencia en 2022

El resultado es que, en efecto, este parece desaparecer de OpenSea al tiempo que se han evitado las tasas que cobra este marketplace por retirarlo. Al menos, aparentemente.

Pero no lo hace del todo. El NFT, explica este usuario en un hilo de Twitter, se queda alojado de alguna manera en la interfaz de programación de OpenSea (API, por sus siglas en inglés), de manera que se puede acceder a estos listados a través de plataformas como Rarible.

Como consecuencia, a través de estas herramientas es posible acceder a listados antiguos de NFT presuntamente cancelados que, sin embargo, aparecen como activos.

"Se ha notificado a OpenSea sobre este fallo, pero aún no se ha hecho nada al respecto. Por favor, tened cuidado. Quizá es buena idea que comprobéis vuestros activos en Rarible antes de que sea demasiado tarde", advertía hace casi un mes este experto.

Y aclara: "Esto no es un error, per se, de OpenSea. El problema es que no hay ningún lugar obvio para que un titular de NFT vea estos listados para cancelarlos. En mi opinión, el lugar donde deberían aparecer es donde el titular creó el listado, es decir, en OpenSea".