Email
- OpenSea informó que al menos 17 usuarios fueron víctimas de un ataque de phishing. La empresa detalló que el hacker engañó a las personas para que firmaran una carga maliciosa, lo que le permitió obtener sus NFT de forma gratuita
OpenSea, uno de los más importantes mercados estadounidenses de tokens no fungibles (NFT por sus siglas en inglés), fue víctima de un ataque mediante phishing, un método de engaño para el robo de datos.
Los ciberdelincuentes obtuvieron cientos de tokens, valorados en más de 1,7 millones de dólares, según confirmó el CEO de la plataforma, Devin Finzer. Sin embargo, la cifra podría superar los 2,9 millones de dólares si se tiene en cuenta que los atacantes empezaron a vender los NFTs robados.
“Por lo que sabemos, se trata de un ataque de phishing. No creemos que esté conectado al sitio web de OpenSea”, indicó Finzer en su cuenta de Twitter.
Aunque en el primer balance ofrecido se estimó que 32 usuarios fueron los afectados por el ataque que se realizó el sábado, OpenSea señaló este 21 de febrero que redujeron la lista de personas a 17.
“Nuestro recuento original incluía a todos los que habían interactuado con el atacante, en lugar de aquellos que fueron víctimas”, detalló.
La empresa indicó que aunque el ataque no parece estar activo, continúan investigando los detalles específicos del phishing.
Our team has been working around the clock to investigate the specific details of this phishing attack. While we haven’t yet determined the exact source, we wanted to share a couple of EOD updates:
— OpenSea (@opensea) February 21, 2022
🧵
Método de engaño
Devin Finzer, cofundador de la plataforma, dijo que el hacker engañó a usuarios para que firmaran una carga maliciosa, lo que le permitió obtener sus NFT de forma gratuita.
Los usuarios comentaron que el ataque se produjo durante la transición de OpenSea al nuevo sistema de contratos inteligentes en los que se basan las operaciones en el portal.
No obstante, el jefe de tecnología de OpenSea, Nadav Hollander, explicó que no se ejecutó ninguna acción maliciosa relacionada con la migración al nuevo sistema Wyvern 2.3, por lo que entienden que el ataque se realizó antes de esta acción.
El aspecto que no han confirmado todavía es a través de qué mecanismo se realizó el engaño por phishing.
“Estamos investigando activamente los rumores de un exploit asociado con los contratos inteligentes relacionados con OpenSea. Esto parece ser un ataque de phishing que se origina fuera del sitio web de la plataforma”, indicó la compañía el 19 de febrero.
Además, advirtió a los usuarios a no abrir enlaces que estén fuera de la dirección de la página oficial http://opensea.io.
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea's website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
Token robados
Según el servicio de seguridad PeckShield, en total se han contabilizado un total de 254 NFTs robados, incluyendo varios de Decentraland y Bored Ape Yacht Club.
Finzer sostuvo que algunos NFT han sido devueltos a sus propietarios. A pesar de que los primeros rumores apuntaban al robo de NFT por un valor de 200 millones de dólares, el CEO aclaró que el atacante tiene 1.7 millones de dólares en Ethereum en su billetera por vender algunos de los tokens robados.
Una de las fortalezas de los NFTs es su trazabilidad, por lo que es posible acceder al Wallet del atacante. De esta forma, OpenSea añadió un mensaje de aviso indicando que esos tokens fueron obtenidos en un ataque de phishing.
Además, la compañía informó que está ayudando a los perjudicados a recuperar sus activos.
“Estamos trabajando activamente con los usuarios cuyos elementos fueron robados para reducir un conjunto de sitios web comunes con los que interactuaron que podrían haber sido responsables de las firmas maliciosas”, destacó la compañía.
