Tecnología 20 de febrero de 2022 3 años ago

Casi 35 millones de pesos en NFT fueron robados a usuarios de OpenSea con un ataque de phishing, pensaron era una verificación de cuentas

El sábado por la tarde, se registró el robo de cientos de NFT a varios usuarios de la plataforma OpenSea. […]

1024_20-103
Array

Casi 35 millones de pesos en NFT fueron robados a usuarios de OpenSea con un ataque de phishing, pensaron era una verificación de cuentas

El sábado por la tarde, se registró el robo de cientos de NFT a varios usuarios de la plataforma OpenSea. De acuerdo con el servicio de seguridad blockchain PeckShield, fueron 254 tokens los obtenidos durante el ataque a 32 usuarios en total.

Algunas de las colecciones fueron tokens de Decentraland y Bored Ape Yacht Club, que según estimaciones del blog Web3 is Going Great, ascienden a un valor encima de los 1.7 millones de dólares, lo equivalente a unos 34.5 millones de pesos al cambio actual.

De acuerdo con el CEO Devin Finzer en su cuenta de Twitter, el ataque parece haber aprovechado la flexibilidad del protocolo Wyvern, el estándar de código abierto en la mayoría de los contratos inteligentes de NFT, que también utiliza OpenSea.

Lee además:  General Motors frenará la producción del Bolt por dos semanas: una parálisis que le sigue al retiro de unidades por riesgo de incendio

Así fue como se aprovecharon de los dueños

El usuario @tucanalcrypto se dedicó a analizar el robo, donde el atacante habría enviado a miles de usuarios de la plataforma un correo usando el dominio team@opensea.io, uno muy parecido al utilizado oficialmente por el servicio, engañándolos de que firmaran el contrato bajo la premisa de evitar que sus cuentas «no verificadas» fueran suspendidas.

Phishing Attack

Este es el supuesto correo que los usuarios habrían recibido

En este contrato parcial, se dio una autorización general y con porciones en blanco, en el que tras obtener la firma de los usuarios originales, completaron con una vinculación a su propio contrato, transfiriendo así la propiedad de los NFT sin ningún pago o comisión.

Lee además:  iPhone 14 sin notch en 2022 y iPhone 15 con sensor de huellas en pantalla en 2023: Ming-Chi Kuo "predice" los avances de Apple

Esto es equivalente a firmar un cheque en blanco, que luego se usó para tomar sus posesiones.

OpenSea dice que su plataforma no fue vulnerada

Hasta ahora no se tiene claro cuál es exactamente el método que se utilizó para que las víctimas firmaran el contrato medio vacío, pero Finzer señaló que los atacantes no se originaron en el sitio web de OpenSea, sus sistemas de listado o a partir de algún correo electrónico de la compañía.

Por lo pronto Finzer pidió a través de Twitter que si alguien contaba con información que pudiera ser útil, la enviara al soporte de OpenSea y que se estará compartiendo información adicional cuando se analice el ataque.

Lee además:  SSD M.2 de Samsung con 1 TB de almacenamiento ideal para una PC gamer o PS5: unidad con PCIe 4.0 de oferta en Amazon México

Por lo pronto, al entrar a la wallet del atacante, se puede ver una alerta señalando su posible vinculación con el robo, incluso con los movimientos de entrada y salida de tokens de este domingo 20 de febrero marcados como transacciones phishing.

Imagen: Diverse Stock Photos


La noticia

Casi 35 millones de pesos en NFT fueron robados a usuarios de OpenSea con un ataque de phishing, pensaron era una verificación de cuentas

fue publicada originalmente en

Xataka México

por
Gonzalo Hernández

.

Google News Haz de Vive Coatza tú fuente de información aquí
Ir al contenido