Tecnología

OpenSea, ¿cómo se robaron 1.7 MDD en NFT?

La plataforma para comprar tokens no fungibles sufrió un ataque de phishing, el cual afectó a más de 30 usuarios.

lun 21 febrero 2022 09:00 AM

Ciberatacantes roban 1.7 MDD en NFT — 254 tokens fueron robados, entre los que se encontraban tokens de Decentraland y Bored Ape Yatch Club. (Liliya Filakhtova/Getty Images)

Expansión

El mercado de NFT vivió un momento de pánico este fin de semana, después de que ciberdelincuentes robaron cientos de tokens no fungibles cuyo valor ascendía a más 1.7 millones de dólares de OpenSea, la plataforma para comercializar los activos digitales.

De acuerdo con el servicio de seguridad de blockchain PeckShield, 254 tokens fueron robados, entre los que se encontraban tokens de Decentraland y Bored Ape Yatch Club. El cofundador de la plataforma, Devin Finzer, dijo que están investigando la vulnerabilidad suscitada a partir de un ataque de phishing, el cual no parece seguir activo.

Los NFT son activos digitales que actúan como certificados de autenticidad y pueden representar prácticamente cualquier cosa, desde obras de arte digitales o ilustraciones, hasta casas virtuales.

“No creemos que esté conectado al sitio web de OpenSea. Parece que 32 usuarios hasta ahora han firmado una carga maliciosa de un atacante y algunos de sus NFT fueron robados”, comentó a través de su cuenta de Twitter.

La ofensiva en contra de los usuarios, según Finzer, explotó una vulnerabilidad en el Protocolo Wyvern, que es una base de código abierto donde se sustentan los contratos inteligentes NFT, y se realizó en dos partes.

En la primera, los objetivos firmaron un contrato en blanco con una autorización general. Esa firma permitió que los atacantes completaran el contrato para transferir los NFT sin pago. Es decir, fue como si las víctimas firmaran un cheque en blanco que los atacantes rellenaron para tomar sus posesiones digitales.

“Revisé cada transacción. Todos tienen firmas válidas de las personas que perdieron NFT, por lo que cualquier persona que afirme no haber sido víctima de phishing , pero perdió NFT, está lamentablemente equivocada”, dijo un usuario de la plataforma.

Hasta ahora, los detalles de la ofensiva siguen sin estar claros, en particular la forma en que los atacantes lograron que los objetivos firmaran el contrato vacío, pues el ejecutivo afirma que los ataques no se originaron en el sitio de OpenSea, sus sistemas de listado o cualquier correo electrónico de la compañía.

También dijo que algunos de los NFT han sido devueltos y por ahora no ha habido más actividad maliciosa. Asimismo, disipó los rumores de un hackeo de 200 millones de dólares, pues sólo detectaron que el atacante tendría 1.7 millones de Ethereum en su billetera.

¿Qué es OpenSea?

OpenSea es una de las empresas más valiosas en torno a los NFT. Recientemente obtuvo una ronda de financiación que la valuó en 13,000 millones de dólares y es un sitio donde los usuarios pueden subir, explorar y pujar por NFT sin interactuar directamente con la blockchain, lo cual facilita el proceso.

Sin embargo, su creciente éxito ha generado problemas de seguridad, con los cuales la empresa ha luchado, como ataques donde los ciberdelincuentes aprovecharon contratos antiguos o tokens infectados para robar propiedades.

Cabe mencionar que el ataque se produjo cuando OpenSea estaba en proceso de actualizar su sistema de contratos, por lo que los responsables negaron que el ataque se haya originado a partir de ese vector, pues de ser así, la cantidad de usuarios afectados habría sido mucho mayor.