OpenSea в центре скандала: кража NFT-коллекции Bored Apes и судовой иск

12.04.2022

Маркетплейс OpenSea оказался в центре громкого скандала – площадку обвинили в краже и скрывании токенов Bored Apes, которые так и не попали в продажу. На OpenSea было оформлено сразу три судебных иска.

Потерпевшими стали три пользователя. Тимми МакКимми и Майкл Валис заявили, что потеряли свои BAYC-активы путем атаки и взлома третьими лицами. По словам потерпевших, злоумышленники действовали через дыры в коде площадки OpenSea. Третья жертва – Роберт Армихо, потерял свои активы в результате перехода по фишинговой ссылке. При этом пользователь утверждает, что OpenSea никак этому не препятствовала.

По словам адвоката одного из потерпевших, его токен под номером 8858 так и не поступил в продажу – маркетплейс его попросту не выставил. В тоже время площадка требует подключения к пользовательским кошельками, чтобы другие пользователи могли видеть какие токены сейчас находятся в наличии.

Сделав заявку на приобретение токена, хакер использовал уязвимость и скорректировал программный код площадки таким образом, что выполнил продажу самому себе. В течение часа полученный NFT был перепродан уже другому, реальному пользователю.

Согласно информации OpenSea, хакер организовал продажу самому себе NFT по цене 0,01 ETH, при реальной средней цене 112,9. Позже, уже другой клиент приобрел в хакера токен по завышенной стоимости.

Адвокат подчеркнул, что потерпевший неоднократно обращался к администрации OpenSea для решения инцидента и возвращения утерянного токена. Однако все старания закончились заявлением маркетплейса о разбирательствах в происшествии.

Инцидент Роберта Армихо

Третий пострадавший – Роберт Армихо, потерял сразу несколько NFT. Как указано в иске, жертва договорилась с третьим лицом о сбыте токенов в Discord. Мошенник предложил перейти на определенный адрес сайта для продажи и последующей сделки. После этого действия владелец полностью потерял контроль над своими токенами. Таким образом, адрес оказался фишинговым.

Хоть и OpenSea не связан с этим инцидентом напрямую, Армихо предполагает, что именно сюда мошенник обратился в надежде поскорее продать NFT.

В итоге злоумышленник воспользовался другим маркетплейсом – LooksRare. Жертва также подала иск на эту площадку.