Domingo, 05 de Febrero de 2023 01:46

Robo de NFT: roban suma millones en tokens de la plataforma Open Sea

Robo de NFT: roban suma millones en tokens de la plataforma Open Sea
La más conocida de las plataformas de venta de NFT reportó un robo millonario en NFT y se transforma en el primer ciberataque en este tipo de activos
Por iProUP
21.02.2022 15.10hs Economía Digital

La plataforma de NFT (Token No fungibles), Open Sea, acaba de ser víctima de phishing. Según la empresa, la más reconocida a nivel mundial para venta de NFT, los ciberdelicuentes robaron la suma de u$s1,7 millones en tokens.

Sin embargo, la cifra puede ser mayor aún y llegar a los 2,9 millones, teniendo en cuenta que los atacantes comenzaron a vender los tokens robados en la misma plataforma. Este sería el primer incidente reportado en este tipo de activos.

Open Sea emitió un comunicado, en el que comentan que investigan un "ataque de phishing" que ya no estaría activo en estos momentos.

Según se describió inicialmente, fueron 32 usuarios afectados, aunque posteriormente se redujo esta cantidad a 17 usuarios.

En total, según el servicio de seguridad PeckShield, se contabilizaron un total de 254 NFTs robados, entre los que aparecen varios de Decentraland y Bored Ape Yacht Club.

Bored Monkey en NFT fueron víctimas
Bored Monkey en NFT, parte de la colecciòn afectada 

Pishing, el engaño más frecuente

Se trata de una técnica en la que se envía habitualmente un correo falso, y hace creer al usuario que se trata de una acción oficial de la plataforma.

Cuando este ingresa sus datos, los atacantes obtienen acceso a su cuenta y pueden robarle los NFT.

Según capturadas filtradas, habría sido un supuesto correo de OpenSea que habría solicitado migrar los NFT de sitio, pero desde OpenSea niegan ese vía.

Nadav Hollander, CTO ('Chief Technology Officer') de OpenSea, describió los aspectos del ataque. La migración al nuevo sistema Wyvern 2.3 está en el centro del asunto, ya que habría sido la excusa utilizada por los ciberatacantes.

El CTO de OpenSea precsió que "no se ejecutó ninguna acción maliciosa relacionada con este, por lo que entienden que el ataque se realizó antes de la migración" y destacó que "en vez de aprovechar un fallo del protocolo Wyvern, fue un ataque contra un target elegido".

Una de las creaciones más buscadas
Una de las creaciones más buscadas

Devin Finzer, CEO de OpenSea, explicó que los usuarios engañados firmaron un contrato parcial, con una autorización general y grandes huecos en blanco.

Con esa firma, los atacantes completaron el contrato con una llamada a su propio contrato, que transfirió la propiedad de los NFT sin realizar pago alguno.

En resumen, según describe el CEO de OpenSea, los usuarios fueron engañados para firmar un "cheque en blanco".

El aspecto que aún no confirmaron es a través de qué mecanismo se realizó este engaño por phishing.

Economía Digital en tu mail
Suscribite a nuestro newsletter y recibí diariamente las últimas noticias en economía digital, start ups, fintech, innovación corporativa y blockchain.
Lo más leído