Roban 1,7 millones de dólares en OpenSea, el mercado NFT más grande del mundo

La mayor plataforma de intercambio de tokens no fungibles (NFT) Mar abierto sufrió este fin de semana varios ataques en los que fueron robados 641 ETH (equivalente a 1,7 millones de dólares) en este tipo de criptoactivos.

Este es el primer ciberataque a una gran plataforma de NFT, tokens basados ​​en blockchain cuya popularidad se ha disparado en los últimos años pero no está exenta de problemas. Y uno de ellos es precisamente la seguridad.

Aunque la empresa estima que se trató de un ataque de phishing, aún no tienen claro de dónde provino. La hipótesis es que los usuarios podrían he recibido un correo electrónico engañoso similar a los oficiales de OpenSea, donde se les instó a mover sus NFT a la billetera de otra persona.

A través de un hilo de tweet, el cofundador y director ejecutivo de la compañía, Devin Finzer Afirmó que «hasta ahora, parece que 32 usuarios han firmado una carga maliciosa de un atacante y algunos de sus NFT han sido robados».

Así lo señala la empresa de análisis de datos y seguridad blockchain PeckShielddurante el ataque Se incautaron 254 fichas de diferentes colecciones, provocando un robo valorado en 1,7 millones de dólares. Entre las cuentas de esta lista se encuentran algunas de las más valiosas en la actualidad, como Club de yates de monos aburridos.

Según Finzer, la cuenta del atacante ya no está activa y algunos NFT han sido devueltos a sus propietarios. A pesar de que los primeros rumores apuntaban al robo de NFT por valor de 200 millones de dólares, el CEO desmintió esta información y agregó que luego de vender algunas obras digitales, el atacante recibió 1,7 millones de dólares en su billetera digital en Ethereum.

El punto en cuestión es que, justo ese día, OpenSea lanzó un nuevo contrato inteligente y pidió a los usuarios que migraran sus propiedades. La migración al nuevo sistema está en el meollo del asunto, ya que habría sido la excusa utilizada por los ciberatacantes.

Las imágenes de Bored Ape Club son una de las NFT más famosas de OpenSea.

Según el propio directivo, el atacante violó el protocolo wyvern, un estándar de código abierto utilizado por distintas plataformas -entre ellas, este mercado NFT- para admitir contratos comerciales para estos activos.

Al parecer, habría modificado estos acuerdos para hacerse pasar por la plataforma y engañar a las víctimas, a quienes instó a compartir información y aprobar contratos parciales de sus cuentas. De esta forma, una parte del contrato la firmaba la víctima y la otra el atacante haciéndose pasar por OpenSea.

Según la explicación del CEO de OpenSea, los usuarios fueron engañados para que firmaran un «cheque en blanco». la mirada que aún no han confirmado es a través de qué mecanismo se llevó a cabo este truco de phishing.

Desconfianza

Sin embargo, no a todos los usuarios les convence esta explicación. Algunas víctimas dicen que nunca abrieron un correo electrónico y habían migrado manualmente sus colecciones a un nuevo contrato inteligente en la plataforma.

La medida buscaba encontrar una «solución a un problema con listados inactivos» que permitía a los estafadores robar NFT valiosos de los coleccionistas en OpenSea.

Debido a que uno de los puntos fuertes de las NFT es su trazabilidad, es posible acceder a la billetera del atacante. Para advertir de este problema, OpenSea ha agregado un mensaje de advertencia que indica que estos NFT se obtuvieron en un ataque de phishing. Rara vez se ha podido seguir a un ladrón con tanto detalle.

SL