La reconocida plataforma OpenSea, uno de los mercados más grandes de tokens no fungibles (NFT) sufrió un importante ataque phishing y consiguieron robar hasta u$s1.7 millones en obras de arte digital con al menos 32 usuarios afectados según confirmó el CEO de la plataforma.
El contenido al que quiere acceder es exclusivo para suscriptores.
Los ataques phishing también afectan a los nuevos mercados digitales como las criptomonedas y los NFTs. Esta técnica de ciberdelincuencia, se está utilizando para robar carteras virtuales y NFTs, de igual manera que sirve para acceder a cuentas bancarias. Es el segundo gran robo de NFTs que sufre la plataforma este año, la primera vez por un fallo en el sistema.
La compañía está investigando lo ocurrido, pero aún no saben dónde se originó el ataque. En total, según el servicio de seguridad PeckShield, se han contabilizado un total de 254 NFTs robados, incluyendo varios de Decentraland y Bored Ape Yacht Club.
Esta modalidad se realiza mediante un correo falso, haciendo creer al usuario que se trata de una acción oficial de la plataforma. Cuando este ingresa sus datos, los atacantes obtienen acceso a su cuenta y pueden robarle los NFTs. Según capturadas filtradas, habría sido un supuesto correo de OpenSea que habría solicitado migrar los NFTs de sitio, pero desde OpenSea niegan ese vía.
Devin Finzer, CEO de OpenSea, también ha detallado lo ocurrido. En primer lugar, los usuarios engañados firmaron un contrato parcial, con una autorización general y grandes huecos en blanco. Con esa firma, los atacantes completaron el contrato con una llamada a su propio contrato, que transfirió la propiedad de los NFTs sin realizar pago alguno. En resumen, según describe el CEO de OpenSea, los usuarios fueron engañados para firmar un "cheque en blanco". El aspecto que no han confirmado todavía es a través de qué mecanismo se realizó este engaño por phishing.
Debido a que una de las fortalezas de los NFTs es su trazabilidad, es posible acceder al Wallet del atacante. Para avisar de este problema, desde OpenSea han añadido un mensaje de aviso indicando que esos NFTs fueron obtenidos en un ataque de phishing.
La plataforma ha abierto una investigación para analizar cómo se ha producido el ataque. De momento, solo saben que la estafa se originó fuera de su web. Devin Fizer, cofundador y director general de OpenSea, indica que "no tenemos conocimiento de que ninguno de los usuarios afectados reciba o haga clic en enlaces en correos electrónicos sospechosos".
Según The Verge, el ataque parece haber explotado una vulnerabilidad del Protocolo Wyvern, el estándar de código abierto subyacente a la mayoría de los contratos inteligentes NFT. En general, las víctimas habrían acabado firmando un contrato en blanco y, una vez firmado, los atacantes completaron el resto del contrato para tomar sus tokens.
Dejá tu comentario