Docenas de usuarios han sido afectados por un ataque a OpenSea, uno de los mercados más grandes de NFTs. Esto ocurrió durante la madrugada del 20 de febrero, y desde OpenSea llevan trabajando desde entonces para esclarecer los hechos.
Según han podido averiguar, se trataba de un ataque de phishing que, en una duración aproximada de tres horas, pudieron robar un total de 254 NFTs de OpenSea. La suma total de estas obras digitales ascendía a los 1,7 millones de dólares.
Un ataque de phishing en uno de los mercados más grandes de NFTs
Tras el ataque, Devin Finzer, CEO y cofundador de OpenSea, quiso explicar el asunto a través de Twitter, donde arroja un poco de luz sobre lo sucedido. Ahí afirma que el ataque no está conectado a la web de OpenSea, y que afectó a un total de 32 usuarios. Sin embargo, recientemente OpenSea confirmó que la cifra de afectados era únicamente de 17, ya que en la de 32 se incluían también aquellas personas que interactuaron con el atacante.
17 usuarios firmaron un payload malicioso, haciendo que algunos de sus NFTs fueran robados por el atacante. Según apunta Finzer y también desde OpenSea, no ha vuelto a haber otra actividad desde entonces, y algunos de los NFTs robados ya han sido recuperados. Por el momento, OpenSea no ha detectado ningún e-mail que contuviera phishing y tampoco han podido averiguar qué página web hacía a los usuarios firmar con código malicioso. En este caso, Finzer insiste en que los usuarios deben cerciorarse de que el dominio con el que se interactúa es 'opensea.io' y no otro.
I know you’re all worried. We’re running an all hands on deck investigation, but I want to take a minute to share the facts as I see them:
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Lo más irónico de todo esto es que, cada transacción realizada se obtuvo a través de firmas validadas. Sin embargo, ninguna de estas tuvieron como objetivo el nuevo contrato Wyvern 2.3, según afirma Nadav Hollander, CTO de OpenSea. De esta manera, todo apunta a que el ataque se realizó antes de la migración a este nuevo protocolo.
En el total de los 254 NFTs, se incluyen aquellos procedentes de Decentraland y Bored Ape Yacht Club, según ha podido recopilar la firma de seguridad y análisis PeckShield a través de este documento. Debido a la naturaleza de este sistema y gracias a la tecnología de la Blockchain, cualquiera puede acceder a la cartera digital del atacante, ya que fue desde ahí mismo donde se vendieron algunos de los NFTs robados. Los usuarios que accedan al perfil son avisados de que los NFTs fueron obtenidos por un ataque de phishing.
Ver 1 comentarios