OpenSea es el referente más grande en el mundo de los NFT’s, pero, esto no los exonera de robos y ataques web. El fin de semana pasado, la plataforma fue víctima de un ataque pishing (suplantación de identidad) que terminó en un robo de cientos de tokens no fungibles, valorados en 1,7 millones de dólares. Para ello, los ladrones cibernéticos, solo necesitaron tres horas.
El robo fue anunciado por el cofundador y CEO de la plataforma, Devin Finzer a través de su cuenta de Twitter, quien además reveló todos los detalles del robo. Lo primero que explica Finzer, es que se descartó un ciberataque desde adentro de la plataforma, pudieron determinar que venía de usuarios ajenos a OpenSea.
I know you’re all worried. We’re running an all hands on deck investigation, but I want to take a minute to share the facts as I see them:
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
“Por lo que,se trata de un ataque de phishing. No creemos que esté relacionado con la web de OpenSea. Parece que, hasta ahora, 32 usuarios firmaron una carga maliciosa de un atacante y algunos de sus NFT fueron robados”, escribió Finzer en uno de sus trinos. Sin embaro, el número de víctimas, posteriormente se redujo a 17 usuarios.
El CEO agregó que el ataque pishing ya no estaba activo en la noche del sábado. Hasta entonces, en las tres horas se lograron robar 254 NFT’s, según el servicio de seguridad PeckShield. Entre los tokens hurtados se encuentran algunas de las piezas más valiosas como Decentraland y Bored Ape Yacht Club.
Te puede interesar: La DIAN anuncia que las criptomonedas entrarán en la declaración de renta
Días antes, el 18 de febrero, la plataforma solicitó a los usuarios una migración de sus activos a un nuevo sistema denominado Wyvern 2.3, un estándar de código abierto. Al parecer, los ciberdelincuentes tomaron esto como excusa para enviar el correo gancho, en el que, cuando el usuario ingresa sus datos, los atacantes obtienen acceso a sus cuentas. Esto se determinó por unas capturas de pantalla.
Sin embargo, en el hilo de Twitter Finzer relata algo diferente. Los atacantes habrían enviado a las víctimas, un contrato parcial, con una autorización general y bastantes espacios en blanco. Con la firma, los atacantes pudieron transferir los NFTs. En resumen, los ciberdelincuentes engañaron a los usuarios para firmar un “cheque en blanco”. Sin embargo, se desconoce la vía por la que se realizó el ataque pishing.
Imagen: Pixabay