Mediante un ataque de phishing, 32 usuarios de OpenSea fueron engañados, les hicieron creer que se trataba de una verificación de cuentas, según ha confirmado el propio CEO de la plataforma.
Si no te encuentras tan familiarizado con la palabra phisihing, no te preocupes, aquí te decimos de que se trata:
El phishing es un estafa que tiene como objetivo obtener a través de internet datos privados de los usuarios, especialmente para acceder a sus cuentas o datos bancarios.
Mediante su cuenta de Twitter Devin Finzer, CEO de la plataforma, dijo que el ataque parece haber aprovechado la flexibilidad del protocolo Wyvern, que se trata del estándar de código abierto en la mayoría de los contratos inteligentes de NFT, que también utiliza OpenSea.
Es así como el pasado sábado por la tarde, se registró un robo de cientos de NFT. De acuerdo con el servicio de seguridad blockchain PeckShield, fueron 254 tokens los obtenidos durante el ataque.
Algunas de las colecciones fueron tokens de Decentraland y Bored Ape Yacht Club, que según estimaciones del blog Web3 is Going Great, ascienden a un valor encima de los 1.7 millones de dólares, lo equivalente a unos 34.5 millones de pesos al cambio actual.
¿Cómo sucedió este ataque?
De acuerdo con el usuario de Twitter @tucanalcrypto quien se dedicó a analizar el robo, el atacante habría enviado miles de correos usando el dominio team@opensea.io, que es uno muy parecido al utilizado oficialmente por el servicio, engañándolos de que firmaran el contrato a fin de evitar que sus cuentas “no verificadas” fueran suspendidas.
Mediante este contrato, se dio una autorización general y con porciones en blanco, en el que tras obtener la firma de los usuarios originales, completaron con una vinculación a su propio contrato, transfiriendo así la propiedad de los NFT sin ningún pago o comisión.
Se trato de algo equivalente a firmar un cheque en blanco.
Hasta ahora no se tiene claro cuál es exactamente el método que se utilizó para que las víctimas firmaran el contrato medio vacío, pero Finzer señaló que los atacantes no se originaron en el sitio web de OpenSea, sus sistemas de listado o a partir de algún correo electrónico de la compañía.
Estamos hablando del primer ciberataque a una gran plataforma de NFTs, unos tokens desarrollados en blockchain cuya popularidad ha aumentado en los últimos años.
Pese a su popularidad no están exentos de problemas, como ejemplo precisamente la seguridad.
Leave a Reply