Une faille sur Opensea : 332 ETH dérobés

Ça chauffe du côté d’OpenseaLancée à la fin de l’année 2017, Opensea a su devenir la principale plateforme d’échange de NFT sur le réseau Ethereum (ETH). Malgré son statut de leader, celle-ci semble présenter une faille d’envergure. 

332 ETH dérobés sur Opensea ? 

Ce matin, aux alentours de 10 h, plusieurs acteurs de l’écosystème ont averti la communauté qu’une faille présente sur Opensea avait été exploitée. 

En effet, la société spécialisée dans l’analyse de blockchains, PeckShield, a annoncé qu’un bug dans l’interface d’Opensea avait permis à un attaquant de drainer environ 332 ETH, soit plus de 740 000 dollars au cours actuel. 

Publication Twitter Peckshield - faille Opensea perte 332 ethers 740 dollars
Publication de Peckshield – Source : Twitter

Un phénomène également identité par le journaliste Colin Wu :

« Un utilisateur nommé jpegdegenlove sur Opensea est soupçonné d’avoir utilisé la vulnérabilité pour acheter à bas prix et vendre à prix élevé, réalisant un profit de plus de 250 ETH. Les NFT impliqués sont BAYC #9991, BAYC #8924, MAYC #4986, etc. »

Publication Twitter Colin Wu (Wu Blockchain) - faille Opensea perte 332 ethers 740 000 dollars utilisateur jpegdegenlove profit 250 ethers
Publication de Colin Wu (Wu Blockchain) – Source : Twitter

Une faille de longue date ? 

Selon certains internautes, la faille est connue de longue date et a d’ores et déjà été exploitée à de nombreuses reprises. 

En effet, @Cap10bad, co-fondateur du projet FreshDrop, avait déjà alerté la communauté concernant cette faille le 31 décembre dernier :

« Récemment, il y a eu une faille sur Opensea qui a permis d’acheter des actifs à des prix très réduits, y compris 3 passes freshdrops, un BAYC, plusieurs MAYC, et plus encore. J’ai fait quelques recherches ce matin, et voici ce qui se passe. »

Lorsqu’un utilisateur met en vente un NFT sur Opensea, un ordre de vente est listé sur la plateforme. Cependant, si l’utilisateur souhaite retirer son ordre, cela implique de payer des frais de transaction en interagissant avec le smart contract. 

Néanmoins, il existe une technique pour contourner ces frais. Elle consiste à envoyer ledit NFT sur une autre adresse, ce qui aura pour effet de retirer l’offre de vente de la plateforme.

Du moins, en apparence… En effet, bien que l’offre ne soit plus visible sur l’interface Opensea, celle-ci est toujours accessible via l’API de la plateforme. Pire encore, il est possible d’accéder à cette offre via l’interface de la plateforme de vente de NFT Rarible. 

Par conséquent, de nombreux NFT, dont les utilisateurs pensaient avoir retiré l’offre de vente en effectuant un transfert, peuvent encore être achetés à l’ancien prix via Rarible. 

Le cas du Bored Ape Yach Club #9991

C’est alors que l’utilisateur sous le pseudonyme jpegdegenlove a pu acheter un NFT de la collection Bored Ape Yacht Club pour 0,77 ETH, alors que le prix minimal de cette collection est de 86 ETH. Ce dernier a directement revendu son NFT pour 84,2 ETH, soit un profit de 83,43  ETH en l’espace de quelques heures, équivalant à 188 000 dollars au cours actuel. 

vente NFT Bored Ape Yach Club #9991 par jpegdegenlove 0,77 ethers - profit de 83,43 ethers (188 000 dollars)
Détail de l’achat et de la revente du NFT Bored Ape Yach Club #9991

Si vous avez utilisé cette technique du transfert, il est primordial que vous alliez de ce pas vous assurer que votre NFT n’est pas à risque. Ce cafouillage d’Opensea pourrait bien profiter à son nouveau concurrent, LooksRare. Effectivement, la plateforme LooksRare a été lancée, il y a une dizaine de jours, en menant une attaque dite vampire à l’encontre d’Opensea.

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.