Hace menos de un mes, la plataforma OpenSea reportó que un error resultó en pérdidas millonarias para varios usuarios. El evento también provocó casos de riqueza instantánea, como el de un joven que ganó 200,000 dólares en menos de 20 minutos. Ahora, el mayor marketplace de tokens no fungibles reportó el robo de casi 35 millones de pesos mexicanos en NFTs de OpenSea.
Devin Finzer, CEO de OpenSea, se encargó de dar la noticia este sábado 19 de febrero. A través de Twitter, el también cofundador de la plataforma de intercambio de NFTs informó que:
Por lo que sabemos, se trata de un ataque de phishing. No creemos que esté conectado al sitio web de OpenSea. Parece que 32 usuarios hasta ahora han señalado una carga maliciosa por parte de un atacante y algunos de sus NFT fueron robados.
Un documento compartido por PeckShield, un servicio de seguridad blockchain, especifica que en total los hackers robaron 254 NFTs de OpenSea a 32 usuarios. Las pérdidas superan los 1.7 millones de dólares (34.5 millones de MXN, al tipo de cambio actual), según estima el blog Web3 is Going Great.
Algunas de las colecciones atacadas fueron NFTs de Decentraland y Bored Ape Yatch Club, ésta última muy famosa por su alta valoración. De hecho, hace unas semanas el cantante Justin Bieber compró un token de uno de estos simios virtuales por más de un millón de dólares. También es la misma plataforma en la que ya se venden los NFTs de doctor Simi, la primera cadena de farmacias mexicana que lanza una colección de su personaje bandera.
En el hilo de Finzer se detalla que, al parecer, el ataque aprovechó la flexibilidad del protocolo Wyvern. Se trata del estándar de código abierto usado en la mayoría de los contratos inteligentes de NFT, incluidos los de OpenSea.
Cualquiera pensaría que los delincuentes cibernéticos habrían utilizado un sofisticado sistema para vulnerar el sistema del máximo marketplace de tokens no fungibles, pero no. Tal como detalló Finzer, los hackers optaron por un viejo y conocido truco: el phishing.
Según la cuenta Tu Canal Crypto, el atacante envió un email a miles de usuarios de OpenSea con una supuesta verificación de datos. La solicitud salió del correo electrónico [email protected], que resulta muy similar al dominio oficial de la plataforma.
El engaño consistía en firmar un contrato para evitar que sus cuentas “no verificadas” fueran suspendidas. Más de una treintena de víctimas concedió autorizaciones con campos en blanco, que tras ser firmadas se vincularon al contrato del delincuente. Esto es como firmar un cheque digital en blanco, explica el portal Xataka.
Así, el hacker logró traspasar la propiedad de los NFT su cuenta sin ningún pago de por medio. Ahora, al ingresar a la billetera de criptomonedas del presunto atacante aparece una alerta que indica su posible responsabilidad en el robo. Incluso, los movimientos de entrada y salida de tokens de este domingo 20 de febrero están marcados como transacciones de phishing.
El CEO de OpenSea también explicó que el ataque no provino desde su sitio web, de sus sistemas de listado o desde algún email oficial de la compañía. También pidió que si alguien tenía información del caso la enviara al soporte de la plataforma. Pensar que todo se hubiera prevenido si los usuarios atacados hubieran seguido la premisa básica de internet: no le des tus datos a cualquiera.
