-
El delincuente robรณ y vendiรณ NFT por mรกs de 1,7 millones de dรณlares.
-
El ataque se habrรญa concretado a travรฉs de enlaces maliciosos enviados por correo electrรณnico.
La plataforma Opensea, uno de los marketplaces mรกs populares para el comercio de tokens no fungibles (NFT) en la red Ethereum, estรก investigando el robo de activos a sus usuarios. Por lo que se sabe hasta el momento, un hacker habrรญa engaรฑado a decenas de personas mediante correos electrรณnicos con enlaces maliciosos.
Segรบn la cuenta de Twitter @tucanalcrypto, el atacante habrรญa enviado un correo a miles de usuarios de Opensea utilizando el dominio team@opensea.io, muy similar al oficial utilizado por la plataforma. De ese modo, los habrรญa engaรฑado para que firmen un contrato malicioso, una acciรณn supuestamente necesaria para evitar la suspensiรณn ยซde las cuentas no verificadasยป.
Devin Finzer, uno de los cofundadores y actual director ejecutivo de la plataforma, confirmรณ la noticia en la medianoche del sรกbado. Mediante una publicaciรณn en Twitter, asegurรณ que ยซhasta el momento, creemos que se trata de un ataque de phishingยป. En esa lรญnea, descartรณ que el problema tenga que ver con el sitio de Opensea, sino que al parecer 32 usuarios firmaron un contrato malicioso con el atacante, lo que le permitiรณ hacerse de sus colecciones de NFT y robarlos.
En la continuaciรณn de ese hilo, Finzer explicรณ que la cuenta del atacante habรญa estado inactiva por al menos dos horas y que incluso algunos de los NFT se devolvieron a sus dueรฑos. ยซLos rumores sobre un hackeo de USD 200 millones son falsos. El atacante posee USD 1,7 millรณn de ETH en su wallet luego de vender algunos de los NFT robadosยป, aรฑadiรณ.
Al ingresar a la que serรญa la wallet del atacante, se puede ver un mensaje de alerta sobre su posible relaciรณn con el hecho. Ademรกs, se pueden observar muchos movimientos de entrada y salida a travรฉs de diversos tokens en la maรฑana del domingo 20 de febrero.
Al cierre de redacciรณn de esta nota, su balance era de 3,01 ether (ETH), es decir, USD 8.060 aproximadamente segรบn la cotizaciรณn actual de la criptomoneda. Sin embargo, llegรณ a tener mucho mรกs, segรบn detalla el usuario @Jon_HQ en una publicaciรณn de Twitter.
Con respecto a los correos enviados para engaรฑar a los usuarios, el directivo de Opensea dijo que no estรกn al tanto de correos de phishing recientes ni tampoco saben quรฉ sitio puede haber estado engaรฑando a los usuarios con mensajes maliciosos. En este sentido, Finzer recomendรณ siempre controlar por duplicado que estรกs interactuando con opeansea.io en el navegador al momento de firmar mensajes.
Pese a sus declaraciones, el supuesto correo malicioso que se ha compartido en redes sociales tiene ese dominio, lo que genera dudas con respecto a la informaciรณn y los recursos con los que contaba el hacker.
Opensea recibe un duro golpe luego de cambiar su smart contract
La plataforma de comercio de NFT acaba de cambiar la versiรณn de su smart contract, es decir, el contrato inteligente en el que se basan las operaciones en el sitio. La intenciรณn del cambio, concretado el pasado viernes 18 de febrero, es pasar a uno mรกs robusto y seguro.
No obstante, pese a los esfuerzos de la compaรฑรญa por prevenir este tipo de eventos, un ataque dejรณ en el centro de la escena a la seguridad de Opensea. De hecho, un usuario compartiรณ en Twitter una advertencia que, segรบn รฉl, habrรญa hecho el 21 de enero pasado reportando un bug que, de todos modos, no estarรญa vinculado al ataque reportado en el dรญa de la fecha.
Por el momento, la informaciรณn que circula es muchรญsima y no hay demasiadas confirmaciones oficiales por parte de la empresa. Con respecto a las especificidades tรฉcnicas del ataque, Devin Finzer compartiรณ un hilo de @nesotual que, segรบn su visiรณn, estรก en lรญnea con la investigaciรณn interna del equipo de Opensea.
ยฟCรณmo prevenir un posible robo en NFT?
Debido a que el robo en cuestiรณn se basa en la firma de un contrato inteligente malicioso que brinda al delincuente acceso a los tokens de un usuario, una posible soluciรณn al problema consiste en revocar todos los permisos otorgados.
Segรบn compartiรณ Devin Finzer en la publicaciรณn ya mencionada, esto puede hacerse siguiendo este enlace a Etherscan. Otra alternativa recomendada por Sibling Labs es utilizar la herramienta Revoke Cash, la cual permite revocar todos los accesos otorgados mediante la firma de un contrato con una wallet de Ethereum.
