Hechos clave:
-
En su intento por recibir el arte digital gratuito, la víctima puede perder todo su saldo.
-
El mercado de NFT habría corregido la vulnerabilidad que permitía el robo de criptoactivos.
Un token no fungible (NFT) ofrecido de forma gratuita a un usuario de Opensea puede ser el señuelo con el que un actor malintencionado se apropie de todos los activos depositados en el monedero de su víctima.
Una investigación de la empresa de seguridad de Check Point Research, con sede en Israel, descubrió una vulnerabilidad en Opensea, una de las plataformas más grandes que existe para el comercio de tokens coleccionables.
Los investigadores de Check Point simularon un ataque con la idea de descubrir por qué hay tantos usuarios de Opensea que están reportando robos de sus activos después de haber recibido un NFT de regalo. Así que crearon una situación que les permitiera comprobar si esto era posible.
El escenario de ataque tuvo éxito al obsequiar un NFT a una determinada víctima con el objetivo de drenar los activos depositados en su cartera. En el momento en el que la víctima reclamaba su token coleccionable de obsequio, abriría una serie de ventanas emergentes maliciosas, diseñadas para que parezcan de Opensea, en las que se le solicitaba conectar el monedero del usuario con la plataforma.
Una vez que la víctima seguía las indicaciones señaladas en la ventana emergente, se activaba la transferencia de fondos hacia una cartera controlada por el o los atacantes. Si en ese momento, el usuario no está prestando atención o no se dio cuenta de lo que estaba pasando, habría firmado la transferencia de fondos que dejaría todos sus activos en manos de los piratas informáticos.
En nuestro escenario de ataque, se le pide al usuario que firme una transferencia de su monedero luego de hacer clic en una imagen recibida de un tercero, lo cual es un comportamiento inesperado en OpenSea, ya que no se correlaciona con los servicios brindados por la plataforma. Sin embargo, dado que el dominio de la operación de transacción es del propio OpenSea, y dado que esta es una acción que la víctima generalmente obtiene en otra operación, puede llevarlo a aprobar la conexión.
Equipo de investigadores de Check Point Research.
El último paso del ataque, después de tener todas las piezas funcionando, es transferir el NFT a la víctima. Luego, esta transferencia se llevará a cabo sin problemas y el usuario afectado añadirá el token a su colección, sin descubrir qué es lo que ha pasado.
La firma de seguridad señala en su informe que advirtió a la empresa sobre las vulnerabilidades descubiertas, las cuales fueron atendidas con prontitud, incluso trabajando con los investigadores para asegurarse de que la solución funcionara. En todo caso, no se añaden detalles de cómo fue que Opensea atendió estas fallas. Tampoco se sabe qué pasó con las personas que dicen que fueron atacadas.
«OpenSea fue receptivo y compartió los NFT que contenían objetos incrustados desde su dominio de almacenamiento, para que podamos revisarlo juntos y asegurarnos de que todos los vectores de ataque estén cerrados», señaló la empresa de seguridad.
Opensea, un ecosistema para navegar con cuidado
No es la primera vez que los reportes de fallas o estafas apuntan al mercado de NFT más grande del ecosistema. Como lo reportó CriptoNoticias a mediados de septiembre, el propio director de producto de la empresa aprovechó sus conocimientos sobre el funcionamiento interno del marketplace para sacarle provecho personal.
Nate Chastain, realizó una serie de operaciones por un tiempo considerable que le permitieron ganar 19 ether (ETH) de manera fraudulenta. Él compraba NFT a un precio bajo, sabiendo que luego se apreciaría al aparecer en la portada del sitio. En ese momento, los vendía a un valor varias veces mayor. La empresa reconoció el hecho y Chastain posteriormente fue desvinculado.
También el mes pasado, un error de Opensea provocó que desaparición de al menos 42 tokens coleccionables valorados en unos 28 ethers (ETH). La falla transfirió 42 NFT a la lista de quemados afectando a más de 21 cuentas diferentes de usuarios de la plataforma.
Entre estos tokens que resultaron destruidos estaba uno que era el nombre de dominio descentralizado más antiguo de todo el ecosistema, el rilxxlir.eth. Uno de los primeros registrados y disponibles para subasta en 2017.
