Un jeton non fongible (NFT) est une forme de crypto-actif, qui enregistre le statut de propriété des fichiers numériques sur la blockchain. OpenSea est la plus grande place de marché permettant aux spéculateurs et aux passionnés d'échanger leurs NFT, avec un volume de ventes de 4,8 milliards de dollars jusqu'à présent en janvier.

Mais une faille de la place de marché a permis aux utilisateurs d'acheter certains NFT aux prix auxquels ils avaient été listés dans le passé, sans que le propriétaire ne se rende compte qu'ils étaient toujours en vente.

OpenSea n'a pas immédiatement répondu à une demande de commentaire.

"L'exploit semble provenir du fait qu'il était auparavant possible de réinscrire un NFT à un nouveau prix, sans annuler la précédente inscription", a déclaré Tom Robinson, chef scientifique et cofondateur d'Elliptic.

"Ces anciennes inscriptions sont maintenant utilisées pour acheter des NFT à des prix spécifiés dans le passé - souvent bien en dessous des prix actuels du marché."

Par exemple, un NFT d'un singe de bande dessinée de la collection Bored Ape Yacht Club, Bored Ape #9991, a été acheté pour 0,77 de la cryptomonnaie ether (environ 1 747 dollars) lundi, alors que ces NFT atteignent habituellement des centaines de milliers de dollars.

Bored Ape Yacht Club est un ensemble de 10 000 NFT de singes de bande dessinée générés de manière algorithmique par la société américaine Yuga Labs.

Environ 20 minutes après que Bored Ape #9991 a été acheté pour 0,77 éther, il a été revendu pour 84,2 éther (environ 189 040 $), selon les enregistrements de la blockchain vus sur OpenSea, donnant à l'acheteur un bénéfice de plus de 187 000 $.

Le propriétaire initial du NFT, qui s'est identifié sur Twitter sous le nom de "TBALLER.eth" (@T_BALLER6), a tweeté qu'il était choqué par la transaction, qu'il disait ne pas avoir autorisée :

"Yooo les gars ! Je ne sais pas ce qui vient de se passer, pourquoi mon singe a été vendu pour 0,77 ?????".

"Je n'ai pas listé mon singe du tout.... Maintenant je vois des DMs qu'il a vendu pour .77 ?????? Wtf ??????"

Robinson d'Elliptic a déclaré qu'il avait identifié huit NFTs volés de cette manière jusqu'à présent, à partir de huit portefeuilles différents, par trois portefeuilles attaquants.

Une personne a payé un total de 133 000 dollars pour sept NFT en exploitant le bug, avant de les revendre rapidement pour 934 000 dollars, a déclaré Robinson.

Il a noté que si les portefeuilles de cryptomonnaies sont généralement anonymes, il est possible que les attaquants soient identifiés s'ils utilisent une bourse pour effectuer des retraits en monnaie fiduciaire.

Alors que les célébrités, les investisseurs et les grandes marques affluent sur le marché des NFT -- où les volumes de vente et les prix de certains NFT recherchés ont connu une croissance vertigineuse -- le bug d'OpenSea pourrait donner à certains acheteurs des raisons de réfléchir.

OpenSea a été fondée en 2017 et a récemment été évaluée à 13,3 milliards de dollars lors de son dernier tour de financement à risque.

Les données d'Elliptic montrent que depuis 2020, 2 milliards de dollars ont été volés aux utilisateurs de la finance décentralisée (DeFi) par des piratages.

"Il n'est pas courant de voir des exploits à l'échelle du marché. Nous voyons des utilisateurs individuels être piratés et se faire voler leurs NFT, par exemple par des attaques de phishing, mais il n'est pas courant de voir quelque chose qui affecte potentiellement l'ensemble du marché", a ajouté Robinson.