Um ataque na plataforma OpenSea resultou em um prejuízo milionário para alguns usuários que tiveram seus tokens de NFT’s roubados. Esse ataque explorou vulnerabilidades que acabaram resultando na transferência de tokens até mesmo dos gigantes Decentraland e do Bored Ape Yacht Club.
Os NFT’s (non-fungible token), ou em bom português, “tokens não fungíveis“, são obras de existência única, como um quadro original de um artista, por exemplo, que até pode ter várias cópias mundo afora, mas somente a obra genuína possui valor considerável.
E além disso, o detentor da obra ainda pode cobrar os direitos por todas as cópias que são reproduzidas. Com NFTs, isso é possível digitalmente, uma vez que existe apenas um token por obra.
No caso do ataque à OpenSea, essas cópias únicas foram repassadas para pessoas não autorizadas, supostamente explorando uma flexibilidade de um dos protocolos de segurança de operações do tipo.
Como aconteceu o ataque à OpenSea?
Uma explicação do co-fundador e CEO da OpenSea, Devin Finzer, no Twitter, explicíta como pode ter ocorrido o roubo desses usuários. Segundo o executivo da plataforma, cheques em branco foram utilizados para realizar a transação de venda das NFT’s dos usuários roubados.
Para ele, é bem provável que para aplicar o golpe, algumas pessoas fizeram uma espécie de contrato parcial para a compra das obras diretamente com os vendedores. Em seguida, utilizaram isso para completar a venda como se o detentor da obra houvesse autorizado a transação.
Sendo assim, as obras autorizadas foram transferidas para os novos donos que aplicaram os golpes na plataforma, que podem ter gerado um prejuízo estimado de US$ 1.7 milhão.
