El mercado más grande de token no fungibles o NFT, OpenSea, ha sido víctima de ‘phishing’ con un robo total de 641 ethereum o 1.7 millones de dólares en arte digital.
El ataque fue realizado este domingo y estuvo dirigido a 32 usuarios en específico, aunque fueron 17 las personas que cayeron en la trampa. Fue mediante el ‘phishing’, una forma de engañar con falsos correos o enlaces, que las víctimas lograron autorizar la transferencia de sus NFT de forma “gratuita”.
En total, según el servicio de seguridad PeckShield, se han contabilizado un total de 254 NFT robados, incluyendo varios de Decentraland y Bored Ape Yacht Club.
¿Cómo se realizó el ataque?
De acuerdo con capturas, los atacantes señalaban ser trabajadores de OpenSea y pedían a los dueños migrar sus NFT de un portal a otro por tema de soporte. El atacante pudo aprovechar que justo el mismo día que realizó el ataque OpenSea lanzaba un nuevo contrato inteligente y pedía a los usuarios que migraran sus participaciones.
El cofundador y CEO de OpenSea, Devin Finzer, explicó en su cuenta de Twitter que estos ataque se originaron en portales ajenos a la plataforma.
En este caso, el atacante violó el protocolo wyvern, un estándar de código abierto que utilizan diferentes plataformas -entre ellas, este mercado de NFT- para respaldar los contratos de comercio de estos activos.
Eso indica que habría modificado estos acuerdos para hacerse pasar por la plataforma y engañar a las víctimas, a quienes instó a compartir información y aprobar contratos parciales de sus cuentas. De ese modo, una parte del contrato quedaba firmada por la víctima y, la otra, por el atacante haciéndose pasar por OpenSea.
La compañía está ayudando a los perjudicados a recuperar sus activos, mientras que busca a los responsables. Asimismo, exhorta nunca confiar en correos electrónicos sospechosos.
Te recomendamos METADATA, el podcast de tecnología de RPP. Noticias, análisis, reseñas, recomendaciones y todo lo que debes saber sobre el mundo tecnológico. Para escucharlo mejor, #QuedateEnCasa.