OpenSea a un problème de sécurité et de fraude et si un titulaire de compte sur le marché NFT a raison, il est négligent dans la protection de ses clients et coupable d’extorsion.
En tant que créateur, collectionneur et capital-risqueur de premier plan de NFT Kévin Rose en attesterait sans aucun doute, le vol dans l’espace NFT est un problème sérieux. Il a perdu une partie de sa collection personnelle évaluée à 1,1 million de dollars lors d’une récente attaque de phishing, bien que cela n’ait rien à voir avec OpenSea.
Robert Acres, comme nous le détaillons ci-dessous, a également été victime d’une attaque de phishing NFT. Pas un utilisateur d’OpenSea aussi connu que Rose, Acres s’est fait voler deux NFT lors d’une attaque de phishing.
Il allègue que loin d’essayer rapidement de l’aider à récupérer sa propriété et à empêcher la revente par les voleurs, comme OpenSea l’aurait fait avec Rose, le principal marché NFT a fini par bloquer Acres hors de son compte pendant trois mois.
Pendant ce temps, Acres allègue qu’il a subi de lourdes pertes sur les 58 NFT de son compte parce qu’il n’a pas pu les échanger.
Les deux NFT volés désormais sur liste noire peuvent être vus sur OpenSea, avec un avertissement indiquant que les articles ne peuvent être achetés ou vendus en raison d’une activité suspecte :
https://opensea.io/assets/ethereum/0xd2f668a8461d6761115daf8aeb3cdf5f40c532c6/2299
https://opensea.io/assets/ethereum/0x4db1f25d3d98600140dfc18deb7515be5bd293af/5297
Les NFT volés d’Acres ont été vendus par le voleur pour 0,5 et 0,7 WETH.
Cependant, Acres estime sa perte résultant de l’impossibilité d’échanger ses NFT restants sur OpenSea jusqu’à 500 000 $ et poursuit le marché NFT – OpenSea est un nom commercial d’Ozone Networks Inc – pour compenser ces pertes.
Il a fait appel aux services de Traverse Legal, avec Enrico Schaefer, associé directeur et avocat général spécialisé dans la blockchain et le web3, à la tête de l’équipe.
Légende de l’image : l’un des NFT volés : https://opensea.io/assets/ethereum/0xd2f668a8461d6761115daf8aeb3cdf5f40c532c6/2299
Un utilisateur d’OpenSea dit qu’il a été exclu de son compte après s’être plaint
Acres allègue que lorsqu’il s’est plaint de la lenteur de la réponse d’OpenSea au vol, c’est alors que le marché l’a bloqué sur son compte.
Selon les communications de support horodatées avec OpenSea vues par Cryptonews, datées du 12 juillet 2021, le jour où le vol a eu lieu, Acres a informé OpenSea du vol avant la vente des NFT volés sur le marché.
Le hachage de la transaction du vol est affiché sur etherscan et horodaté à 13h38 UTC : https://etherscan.io/tx/0xa6bc538181d79b342cd69042eac74b9a64a1aeb99ed05d98d3f5c09a6f7bf59d
La vente a eu lieu une heure plus tard à 14h38 UTC : https://etherscan.io/tx/0xd2327c65e66d0ac94282580f0a8d64d1cd155faa53d7613565d55c6ed9862b25
L’e-mail signalant le vol au support OpenSea est horodaté à 14h11 UTC.
Les hachages tx montrent qu’il s’est écoulé une demi-heure entre l’alerte d’OpenSea sur le vol et la vente ultérieure sur le marché.
Certes, on pourrait faire valoir que la fenêtre d’une demi-heure n’a pas laissé beaucoup de temps à OpenSea pour réagir, mais s’il s’agissait d’une finance héritée, où des systèmes de surveillance automatisés sont en fonctionnement, des processus seraient en place pour suspendre rapidement les activités suspectes.
Mais, compte tenu de son manque d’action pour empêcher la revente, il pourrait être raisonnable de conclure qu’OpenSea ne semble pas avoir mis en place de systèmes suffisamment robustes pour pouvoir répondre à de telles alertes des utilisateurs en temps opportun.
La réponse initiale d’OpenSea semble délibérément malhonnête
En partie, dans sa seule déclaration publique faite à ce jour sur la question, un porte-parole d’OpenSea a déclaré : « Le vol en question a eu lieu en dehors d’OpenSea et les articles ont été vendus avant qu’OpenSea ne prenne connaissance du vol signalé. Peu de temps après avoir été informé et pris conscience, nous avons désactivé les éléments et le compte de l’utilisateur a depuis été déverrouillé. »
La première clause de la première phrase est correcte – il s’agissait d’une attaque de phishing qui n’avait rien à voir avec OpenSea. Mais, si M. Acres a raison, le reste de cet extrait de la déclaration est faux. OpenSea, comme indiqué ci-dessus, a été informée du vol avant la vente.
La deuxième phrase est pour le moins fallacieuse, car on pourrait en déduire que le compte de l’utilisateur a été déverrouillé peu de temps après la désactivation des deux NFT, ce qui n’a pas été le cas – le compte d’Acres a été verrouillé pendant trois mois et demi.
En effet, il semble que c’est lorsque Acres a contesté l’échec d’OpenSea à empêcher la vente des NFT volés, que son compte a été verrouillé.
Dans un e-mail à Cryptonews.com, Acres écrit :
« Frustré et croyant qu’OS était en partie responsable de ce qui s’était passé, j’ai noté qu’OS devrait être tenu responsable des dommages pécuniaires. En réponse, le système d’exploitation a verrouillé mon compte sans préavis, demande ou autorisation. »
Acres poursuit en alléguant que « OS a exigé que je jure sous serment que mon portefeuille n’a pas été compromis (ce qui signifie qu’OS ne serait pas responsable) ».
Selon le récit d’Acres, lorsqu’il a refusé de se conformer aux demandes présumées d’OpenSea, il a été exclu de son compte. Acre affirme en outre qu’OpenSea, à la suite du verrouillage, l’a empêché d’échanger ses 58 NFT sur le marché OpenSea.
Un utilisateur d’OpenSea affirme que le marché NFT « peut saisir vos actifs NFT »
Acres écrit dans son e-mail à Cryptonews.com : « OS déclare que les NFT de ses utilisateurs ne sont pas sous la garde d’OpenSea. Pourtant, la plupart des membres d’OpenSea ne savent pas que le système d’exploitation peut saisir vos actifs NFT et vous empêcher de déplacer ou d’échanger vos NFT pendant des jours, des semaines, des mois ou probablement pour toujours, même si vous n’avez rien fait de mal.
La page du centre d’aide OpenSea indique clairement le contraire :
« Bien que nous puissions empêcher l’achat ou la vente de vos articles en utilisant les services d’OpenSea, vos articles restent sur la blockchain et ne sont pas sous la garde d’OpenSea. »
OpenSea ne serait bien sûr pas en mesure d’empêcher un utilisateur de la plateforme de négocier ses NFT sur une place de marché concurrente. Cela signifie qu’il n’est peut-être pas vrai qu’à proprement parler, OpenSea « peut saisir vos NFT », comme le prétend Acres
Cependant, en pratique, l’essentiel de la liquidité disponible sur le marché des NFT se trouve sur OpenSea. Ici, nous voyons en gros les limites de la décentralisation de la cryptographie dans la pratique par opposition à ses résultats théoriques escomptés.
Pour se défendre de l’accusation qu’il porte contre OpenSea concernant le verrouillage de son compte, Acres a déclaré à Cryptonews : « Une fois que votre portefeuille est » verrouillé « ou » bloqué « , tous les éléments de votre portefeuille sont signalés comme suspects et donc, quel que soit le portefeuille. sont transférés vers lesquels ils ne pourront jamais négocier sur OpenSea tant qu’ils n’auront pas supprimé le drapeau de votre compte.
« Actuellement, OpenSea contrôle plus de 60 % de tout le volume des transactions NFT et à l’époque où cet incident s’est produit, il était bien plus important.
« Le volume de transactions restant divisé par les concurrents signifie que vous n’êtes pas en mesure d’obtenir les prix les plus compétitifs et s’ajoute donc à nouveau aux pertes financières que j’ai accumulées pour un verrou de portefeuille qui m’a été placé contre ma volonté.
« La plupart des individus qui négocient sur n’importe quel marché concurrent d’OS finissent souvent par utiliser OS comme marché de revente après avoir acheté sur le marché d’un concurrent.
« Donc encore une fois, dans ce cas, tous mes NFT porteraient cette étiquette » suspecte « lorsqu’ils étaient affichés sur [the] Marché du système d’exploitation[;] le nouvel acheteur ne peut pas non plus le vendre et donc, lorsqu’il fait preuve de diligence raisonnable pendant le processus d’achat, il ne les achèterait pas car les options de revente seraient limitées.
Comment cette argumentation est-elle susceptible de se dérouler devant un tribunal?
OpenSea est accusé de tentative d’extorsion
Nous avons posé la même question, concernant le plaignant étant libre d’échanger ses NFT ailleurs, à l’avocat principal d’Acres, Enrico Schaefer, associé directeur chez Traverse Legal.
C’était sa réponse.
« OpenSea a acquis les actifs de M. Acres en prenant le contrôle de son compte, ce qui constitue le délit de conversion [lawyer-speak for a form of theft]. Cela donne aux personnes victimes de vol le droit légal d’intenter une action en justice pour récupérer leurs dommages.
« Essentiellement, la conversion offre à chacun la possibilité d’intenter une action en justice pour obtenir des dommages-intérêts pour la conversion de sa propriété. La conversion se produit lorsqu’une personne, avec l’intention et sans autorisation appropriée, prend le contrôle des biens ou des fonds d’une autre personne, limitant ainsi sa capacité à y accéder.
« Le contrôle n’a pas besoin d’être exclusif. L’absence de réponse d’OpenSea et la tentative d’extorsion pour déverrouiller le compte ont dû être une surprise et une source d’inquiétude, comme ce serait le cas pour toute personne dans une situation similaire.
Pourquoi OpenSea n’a-t-il pas répondu en temps opportun une fois alerté du vol de NFT ?
De plus, Traverse Legal au nom d’Acres affirme qu’OpenSeas avait trois heures pour agir avant que la vente des NFT volés n’ait lieu sur sa plateforme.
« Si OpenSea n’avait pas attendu plus de trois heures pour s’engager activement, le NFT aurait pu être verrouillé et potentiellement renvoyé dans son portefeuille », écrit Traverse Legal.
En fait, le laps de temps entre l’alerte du vol et leur vente ultérieure n’était en fait qu’une demi-heure, comme nous l’avons mentionné précédemment, selon l’analyse de Cryptonews.
Néanmoins, après tous les problèmes bien documentés sur le site rencontrés par ses utilisateurs, du délit d’initié au vol, OpenSea devrait sûrement avoir mis en place des systèmes et des processus, automatisés et humains, pour suspendre immédiatement toute activité suspecte lorsqu’elle est signalée.
En laissant de côté les horaires, OpenSea serait sûrement en mesure de se défendre sur la base qu’Acres aurait été libre d’échanger ses 58 NFT répertoriés sur OpenSea sur un autre site ?
« Cette affaire est mieux adressée à Robbie, qui a vécu la situation de première main », a écrit Schaefer dans un e-mail à Cryptonews.
Il a poursuivi: «Cependant, j’ai déjà représenté des clients confrontés à des problèmes similaires. L’affirmation selon laquelle « une plateforme moindre avec moins d’acheteurs et de vendeurs » aurait pu être utilisée à la place n’est pas une excuse valable pour qu’OpenSea se dérobe à ses responsabilités envers les membres de sa plateforme.
« OpenSea est la plate-forme préférée des particuliers qui cherchent à maximiser la pression de la demande et des prix sur le marché. L’utilisation d’une plate-forme avec un volume de ventes nettement inférieur aurait entraîné une vente de liquidation plutôt qu’une activité commerciale substantielle.
Les trois questions pour OpenSea qui restent sans réponse
Qu’est-ce qu’OpenSea a à dire sur tout cela, au-delà de leur déclaration initiale partagée avec les médias ?
Nous avons envoyé à OpenSea les questions suivantes :
- Pourquoi M. Acres a-t-il été exclu de son compte contre son gré ?
- Pourquoi M. Acres a-t-il dû se parjurer, comme on le prétend, pour que son compte soit déverrouillé ?
- M. Acres recevra-t-il une indemnisation pour les pertes prétendument subies pendant la période où il n’a pas pu accéder à son compte ?
Une semaine plus tard, nous n’avons toujours pas de nouvelles d’OpenSea.
C’est certainement le comble de l’ironie qu’un marché qui négocie des produits basés sur une technologie dont la valeur d’usage est fondée sur sa capacité à attribuer en toute sécurité des identités uniques à des actifs numériques et non numériques et à d’autres biens, ne soit pas en mesure d’empêcher la prolifération de produits frauduleux. les inscriptions et la vente desdits biens volés.
OpenSea place-t-il la collecte des revenus des frais de négociation au-dessus des intérêts de ses utilisateurs ?
Nous avons donné à Acres le dernier mot. Au téléphone, dans une conversation au cours de laquelle il convient que le bon moment est d’une demi-heure en ce qui concerne la déclaration du vol et la vente du bien volé, il insiste néanmoins : « Le grand [of his complaint] partie est le fait qu’ils ont verrouillé mon compte pendant trois mois et demi et m’ont demandé de me parjurer.
« Je comprends tout à fait qu’il s’agit d’une escroquerie par hameçonnage et qu’agir dans les 45 minutes à une heure après que j’ai été moi-même notifié, puis que j’ai notifié OpenSea – et cette demi-heure en termes de moi pour les informer qu’il a été volé et en espérant ceils pourraient prendre une sorte d’action – c’est assez mince, j’adhère complètement à cela.
« Mais tout ce qui découle de cette transaction est de la négligence 101. »
Votre compte a-t-il été verrouillé par OpenSea dans le passé ? a été victime d’attaques de fraudeurs mais a trouvé OpenSea lent à aider ; ou est-ce qu’un créateur de NFT listé sur OpenSea est aux prises avec des escrocs qui publient constamment des versions frauduleuses de vos produits ? Si oui, contactez Cryptonews à [email protected].
