Un actor de amenazas está promocionando en foros de hacking la venta de una presunta cadena de exploits de 0-day dirigida contra OpenSea, con un precio de 100.000 dólares en Bitcoin o Monero(BTC/XMR). Según el anuncio, la vulnerabilidad sería crítica, no revelada y sin parchear, lo que ha generado inquietud en la comunidad NFT.

Representación visual de activos NFT y cadenas de bloques Ethereum con advertencias de ciberseguridad.

De acuerdo con la publicación detectada por Dark Web Informer, el exploit afectaría a la lógica de validación de órdenes del protocolo Seaport, utilizado por OpenSea en Ethereum Mainnet, Polygon y Blast. El vendedor afirma que la cadena permitiría transferir NFTs de alto valor por cero ETH, eludiendo aprobaciones de listado y explotando técnicas como maleabilidad de firmas y ataques entre colecciones.

Además, asegura ofrecer código de prueba de concepto (PoC) y una demostración en vivo tras el pago, presentando la herramienta como una solución lista para drenar activos de forma instantánea y sin interacción del usuario.

 Puntos clave del supuesto exploit

  • Precio de venta: 100.000 USD en BTC o Monero

  • Tipo de amenaza: Cadena de exploits de día cero no revelada

  • Objetivo: OpenSea (protocolo Seaport)

  • Redes afectadas: Ethereum, Polygon y Blast

  • Impacto declarado: Transferencia de NFTs por 0 ETH

  • Estado oficial: Sin confirmación pública ni parches hasta el 14 de febrero de 2026

  • Evidencias públicas: No se han observado robos coincidentes on-chain

Escepticismo en la comunidad

Hasta el momento, no se han detectado movimientos anómalos en blockchain que respalden la explotación activa de esta supuesta vulnerabilidad. Tampoco OpenSea ha emitido comunicados oficiales ni actualizaciones de seguridad relacionadas.

Algunos analistas cuestionan la credibilidad del anuncio: si el exploit fuera realmente funcional y permitiera acceder a NFTs de alto valor, su explotación directa podría generar beneficios muy superiores a los 100.000 dólares solicitados. Esto abre la posibilidad de que se trate de una estafa, una exageración o una estrategia para atraer compradores en foros clandestinos.

Contexto y riesgos históricos

El ecosistema NFT ya ha sufrido incidentes relevantes, como los vacíos de listado explotados en 2022, que permitieron el robo de activos valorados en aproximadamente un millón de dólares antes de ser parcheados. Aunque aquella vulnerabilidad fue corregida con rapidez, el nuevo anuncio pone de relieve los riesgos persistentes en plataformas DeFi vinculadas a NFTs.

La amenaza actual carece de indicadores de compromiso (IOCs) públicos, como identificadores del actor o enlaces específicos a foros, lo que dificulta su análisis técnico independiente.

La posible existencia de un 0-day contra OpenSea, real o no, subraya un hecho clave: los usuarios de NFT constituyen un objetivo de alto valor para actores maliciosos, y la amplia adopción de Seaport amplifica cualquier riesgo potencial. Hasta que haya confirmación técnica o desmentido oficial, la prudencia y la vigilancia siguen siendo la mejor defensa.

Más información