Un hacker exploite une faille sur la plateforme OpenSea et subtilise 750 000 dollars

Une faille sur OpenSea

Plusieurs propriétaires ont déclaré avoir vu leurs tokens non fongibles (NFTs) de la collection Bored Ape Yacht Club se vendre à des prix bien moindres que leur valeur réelle sur la plateforme OpenSea.

I just lost an ape guys…. I’m crying…. How did this just happen???????????????????

— TBALLER.eth (@T_BALLER6) January 24, 2022

Un hacker aurait réussi à exploiter une faille dans la partie frontend de la plateforme d'échange OpenSea, lui permettant d'acheter des NFTs pour plusieurs dizaines de milliers de dollars de moins que leur prix plancher (prix minimum d'échange).

Tballer, la personne ayant déclaré le vol sur son compte Twitter, a ainsi vu son BAYC #9991 partir pour 0,77 ETH, soit 1700 dollars.

Il a été revendu à peine une heure plus tard pour 185 000 dollars. Les BAYC #8274 et #8924 ont également été vendus pour 23 ETH (environ 51 000 dollars) et 6,66 ETH (14 700 dollars) alors qu'actuellement, le prix plancher de la collection Bored Ape Yacht Club est de 200 000 dollars.

Le hacker a également acheté deux Mutant Ape, une collection secondaire des BAYC, ainsi qu'un NFT Cool Cats et un NFT CyberKongz. Au total, cela lui a permis de gagner 332 ETH, soit environ 733 500 dollars.

Historique des évènements pour le BAYC #9991 – Source : OpenSea

L'acheteur mystérieux se prénomme « jpegdegenlove » et a été renommé « OpenSea Opportunistic Buyer » (acheteur opportun d'OpenSea) sur Etherscan.

? Pour rester au courant de l'actualité des NFTs

Un bug dans l'API de la plateforme

Lorsqu'un utilisateur d'OpenSea souhaite modifier le prix de vente minimum d'un NFT, la plateforme lui fera payer des frais de modification, qui peuvent être assez importants si le prix a été modifié plusieurs fois.

Cependant, des vendeurs de NFTs ont réussi à contourner ce problème. Ils transfèrent le NFT en question sur un autre portefeuille puis le renvoient de nouveau vers le portefeuille original afin de pouvoir changer le prix sans payer davantage.

Mais c'est là que la faille se crée. Effectivement, l'ordre de vente original n'est plus visible sur la plateforme, mais reste accessible dans l'Interface de Programmation d'Application (API) du site, permettant à un acheteur malveillant d'accéder aux prix « invisibles » précédents.

Concrètement, le changement est visible sur la partie frontend du site, mais tout l'historique reste accessible dans la partie backend.

Ainsi, le hackeur a pu accéder aux listings de prix précédents via la plateforme Rarible et les acheter à moindre prix.

La faille avait déjà été signalée via l'utilisateur de Twitter @cap10bad le 31 décembre, mais le problème ne semble toujours pas avoir été résolu par OpenSea plus de trois semaines après sa découverte.

OpenSea toujours leader du marché des NFTs

La plateforme d'échange de NFTs OpenSea reste leader du marché avec un nombre d'utilisateurs toujours croissant d'environ 457 000 pour le début d'année 2022.

Utilisateurs actifs mensuellement sur OpenSea - Source : Dune Analytics

Elle a vu son volume mensuel d'échange atteindre les 3,24 milliards de dollars sur le seul mois de décembre, la plaçant très loin devant son concurrent principal Rarible qui n'a observé « que » 21 millions de dollars de volume d'échange sur sa plateforme sur la même période.

La collection des Bored Ape Yacht Club n'a pas été choisie au hasard lors de ce hack. Effectivement, il s'agit des NFTs avec le prix plancher le plus élevé toutes collections confondues (87,7 ETH actuellement, soit environ 185 000 dollars).

La capitalisation boursière des BAYC vaut actuellement 2,37 milliards de dollars. De nombreuses stars se sont d'ailleurs acheté des NFTs BAYC, comme Stephen Curry, Post Malone, Jimmy Fallon, Snoop Dogg ou plus récemment le rappeur Eminem.

Rédacteur en chef de Cryptoast, je m'emploie à démocratiser le monde des cryptomonnaies et du Web3 pour tous.

Maximilien Prué

1205 articles

Tous ses articles