Robaron 254 tokens no fungibles, NFTs, con valor de 1.7 millones de dólares en menos de 3 horas en una de las plataformas más importantes de NFTs; Open Sea, te contamos cómo sucedió.
En 3 horas por lo menos 17 usuarios de OpenSea fueron víctimas de phishing, un tipo de estafa cuyo objetivo es obtener a través de internet datos privados de los usuarios, para acceder a sus cuentas o datos bancarios.
Phishing es un término informático que se refiere a un conjunto de técnicas que para engañar a una víctima, haciéndose pasar por una persona, empresa o servicio se gana su confianza, para manipularla y realice acciones que ponen en peligro sus datos y seguridad.
NO DEJES DE LEER: Qué es coinbase y cómo funciona esta app
OpenSea se ha convertido en una de las compañías más valiosas de NFT, Mercado NFT OpenSea actualmente alcanza una valoración de 13.000 millones de dólares.
OpenSea ofrece una interfaz simple para que los usuarios enumeren, exploren y ofrezcan tokens sin interactuar directamente con la cadena de bloques. Pero, la empresa ha tenido que luchar contra ataques para robar las propiedades de los usuarios.
Este sábado, ciberdelincuentes robaron cientos de NFT a los usuarios de OpenSea, lo que provocó pánico entre los usuarios de la plataforma. El servicio de seguridad de blockchain PeckShield contó 254 tokens robados en el transcurso del ataque, incluidos tokens de Decentraland y Bored Ape Yacht Club.
Los ataques ocurrieron entre las 17 y 20 horas del sábado y en un principio se calculó que estuvo dirigido a 32 usuarios en total, sin embargo datos más recientes confirman al menos 17 víctimas de phishing en OpenSea. El valor de los tokens robados se calcula en más de 1,7 millones de dólares.
TIENES QUE LEER: ¡Street Fighter 6 es oficial! Aquí el tráiler
OpenSea estaba en proceso de actualizar su sistema de contratos cuando se produjo el ataque, pero la plataforma negó que el ataque se haya originado con los nuevos contratos y es probable que así sea pues una vulnerabilidad general había causado un impacto masivo.
El ataque parece haber explotado una vulnerabilidad en el Protocolo Wyvern, el estándar de código abierto que subyace en la mayoría de los contratos inteligentes NFT, incluidos los realizados en OpenSea.
Una hipótesis es que la vulnerabilidad se dio cuando las víctimas, al momento de hacer una transacción firmaron un contrato parcial, con una autorización general y grandes porciones en blanco. Con la firma en ese lugar, los atacantes completaron el contrato con una llamada a su propio contrato, para transferir la propiedad de los NFT sin pago.
En esencia, los objetivos del ataque firmaron un cheque en blanco (a través de engaños o phishing) y, una vez firmado, los atacantes completaron el resto del cheque para tomar sus NFTs.
NO DEJES DE LEER: Nissan: México será #1 en vehículos eléctricos en LATAM
Aún se desconocen muchos detalles del ataque, sobre todo, no queda claro como hicieron los atacantes para lograr que los usuarios firmaran el contrato medio vacío. El CEO de OpenSea, Devin Finzer, dijo en Twitter que los ataques no se habían originado en el sitio web de OpenSea, ni a través de correo electrónico de la compañía.
“Los mantendremos informados a medida que aprendamos más sobre la naturaleza exacta del ataque de phishing. Si tiene información específica que podría ser útil, envíe un mensaje directo a @opensea_support". dijo Finzer en Twitter.
De acuerdo con OpenSea el ataque ya terminó y están trabajando en ello: "Nuestro equipo ha estado trabajando día y noche para investigar los detalles específicos de este ataque de phishing. Si bien aún no hemos determinado la fuente exacta, queríamos compartir un par de actualizaciones de EOD".
