Después de un año de ataques y estafas frecuentes en la plataforma NFT OpenSea, la compañía ahora enfrenta tres demandas separadas de los demandantes que perdieron el acceso a sus NFT de Bored Ape Yacht Club.
Timmy McKimmy de Texas y Michael Valise de Nueva York afirman haber perdido Bored Apes en un hackeo que explotó una vulnerabilidad de seguridad conocida en el código de OpenSea. Robert Armijo, de Nevada, dijo que perdió a sus monos en un ataque de ingeniería social que, según afirma, la negligencia de OpenSea no logró mejorar.
OpenSea no respondió de inmediato a una solicitud de comentarios.
McKimmy y Valise perdieron a sus simios en hackeos similares, aunque no se sabe si el hacker era la misma persona o no.
«A pesar de que McKimmy no tenía su NFT a la venta, OpenSea requiere que conecte una billetera, y así las personas pueden ver qué NFT hay en esa billetera y pueden hacer ofertas en NFT no listados», explicó Ash Tadghighi, abogado de McKimmy. “Aprovechando una vulnerabilidad de seguridad, el pirata informático hizo una oferta, pirateó el código y aceptó la oferta en nombre del Sr. McKimmy. Así que básicamente se lo vendió a sí mismo y en una hora se lo vendió a otro usuario”.
De acuerdo con los datos de transacciones disponibles públicamente, el pirata informático se vendió el NFT a sí mismo por .01 ETH y se lo vendió al usuario por 99 ETH, después de lo cual desapareció la billetera utilizada para realizar estas transacciones. El hackeo ocurrió alrededor del 7 de febrero.
En documentos judiciales, McKimmy dijo que se puso en contacto con OpenSea en numerosas ocasiones, con la esperanza de recuperar su activo o ser compensado por su activo perdido. Hasta el momento, dijo, no ha recibido ningún tipo de oferta, aunque supuestamente OpenSea le dijo que estaba “investigando activamente” el problema.
Tadghighi, quien comenzó a familiarizarse con el espacio criptográfico y NFT después de ayudar a algunos creadores con los derechos de autor, dijo que el caso es «el primero de su tipo». No hay precedentes”.
Una vez que este caso se hizo de conocimiento público, Tadghighi y su colega Andrew Dao se vieron inundados con solicitudes de ayuda legal en relación con la pérdida de activos.
Al final, Tadghighi y Dao decidieron representar a Michael Valise, quien perdió Mono aburrido #8858 en un hackeo que, según los abogados, también se llevó a cabo aprovechando una vulnerabilidad de seguridad. Esta vez, el 26 de enero (antes del hackeo de McKimmy), el pirata informático se vendió el NFT de Valise por 24,89 ETH y luego lo revendió inmediatamente por 92,9 ETH.
Tanto Valise como McKimmy están demandando por negligencia que, según dicen, los llevó no solo a perder frente a valiosos NFT, sino que también les impidió sacar provecho de los beneficios de poseer Bored Apes.
Recientemente, BAYC anunció que estaba lanzando su propia moneda, ApeCoin. Los tenedores eran elegibles para reclamar monedas primero, pero McKimmy y Valise no pudieron hacerlo porque sus activos habían sido robados. Tadghighi y Dao argumentan que OpenSea siguió operando a pesar de estar al tanto de las violaciones de seguridad que estaban perjudicando a los usuarios que habían actuado exactamente como OpenSea les había dicho que actuaran.
‘OpenSea ha priorizado el crecimiento’
El caso de Robert Armijo es bien diferente. armijo perdido Mono aburrido #4329 y dos simios aburridos mutantes, #1819 y #7713en un truco de ingeniería social.
Alrededor del 1 de febrero, Armijo visitó el servidor Cool Cats Discord, una sala de chat, para discutir el intercambio de uno de sus Mutant Bored Apes por algunos Cool Cat NFT. Un usuario respondió y comenzaron a conversar sobre cómo intercambiar sus activos.
Según los documentos judiciales, Armijo sugirió cierto sitio web y el usuario le envió un enlace, alegando que ya había subido sus NFT. Todo lo que tenía que hacer Aramijo era subir el suyo. Aramijo hizo clic en el enlace, que terminó siendo fraudulento. Su billetera que contenía sus dos Mutant Apes y su Bored Ape, junto con algunas criptomonedas, se vació.
“Aunque el robo no ocurrió en la plataforma de OpenSea, el Sr. Armijo sospechó que el ladrón enumeraría los NFT robados en OpenSea para tratar de venderlos lo más rápido posible”, se lee en los documentos judiciales. Como tal, Armijo intentó ponerse en contacto con OpenSea para que cuando sus activos se cargaran en OpenSea se congelaran y no estuvieran disponibles para vender. Pero se encontró con numerosos obstáculos.
«Señor. Armijo trató de encontrar un número de teléfono para comunicarse con el servicio al cliente de OpenSea, pero ese número no existe”, se lee en los documentos judiciales. «Señor. Armijo creó múltiples tickets de ayuda, suplicando desesperadamente a OpenSea que no permitiera ninguna venta de sus NFT robados. No recibió ninguna respuesta a sus solicitudes. El Sr. Armijo luego fue al servidor Discord de OpenSea”.
Luego de publicar varios mensajes en Discord, Armijo no recibió ninguna respuesta. En cambio, lo que vio fueron mensajes de otros usuarios de OpenSea que se quejaban de que habían presentado multas días e incluso semanas antes sin recibir comentarios ni ayuda. Cuando se cerró esta ventana de tiempo crítica, Armijo vio cómo su Bored Ape se incluía en OpenSea y se vendía dos horas después del ataque. Cuatro horas después del ataque, OpenSea respondió a los tickets de ayuda de Armijo y congeló sus Mutant Apes. Luego, el pirata informático incluyó a los Mutant Apes en LooksRare, donde se vendieron casi de inmediato. Armijo también está demandando a LooksRare.
“OpenSea ha priorizado el crecimiento sobre la seguridad del consumidor y la seguridad de los activos digitales del consumidor”, dice la denuncia.
La queja da el ejemplo de un proceso de aprobación que solía tener OpenSea, que requería que los NFT fueran verificados como cargados por su propietario adecuado antes de ser incluidos en el sitio. El proceso se interrumpió en marzo de 2021, cuando explotó el mercado de NFT.
Desde que se eliminó este proceso de selección, el robo se ha generalizado en el sitio. En un comunicado, OpenSea reconoció que “más del 80% de los artículos creados con esta herramienta fueron obras plagiadas, colecciones falsas y spam”.