La plataforma de NFT (Token No fungibles), Open Sea, acaba de ser víctima de phishing. Según la empresa, la más reconocida a nivel mundial para venta de NFT, los ciberdelicuentes robaron la suma de u$s1,7 millones en tokens.
Sin embargo, la cifra puede ser mayor aún y llegar a los 2,9 millones, teniendo en cuenta que los atacantes comenzaron a vender los tokens robados en la misma plataforma. Este sería el primer incidente reportado en este tipo de activos.
Open Sea emitió un comunicado, en el que comentan que investigan un "ataque de phishing" que ya no estaría activo en estos momentos.
Según se describió inicialmente, fueron 32 usuarios afectados, aunque posteriormente se redujo esta cantidad a 17 usuarios.
En total, según el servicio de seguridad PeckShield, se contabilizaron un total de 254 NFTs robados, entre los que aparecen varios de Decentraland y Bored Ape Yacht Club.
Se trata de una técnica en la que se envía habitualmente un correo falso, y hace creer al usuario que se trata de una acción oficial de la plataforma.
Cuando este ingresa sus datos, los atacantes obtienen acceso a su cuenta y pueden robarle los NFT.
Según capturadas filtradas, habría sido un supuesto correo de OpenSea que habría solicitado migrar los NFT de sitio, pero desde OpenSea niegan ese vía.
Nadav Hollander, CTO ('Chief Technology Officer') de OpenSea, describió los aspectos del ataque. La migración al nuevo sistema Wyvern 2.3 está en el centro del asunto, ya que habría sido la excusa utilizada por los ciberatacantes.
El CTO de OpenSea precsió que "no se ejecutó ninguna acción maliciosa relacionada con este, por lo que entienden que el ataque se realizó antes de la migración" y destacó que "en vez de aprovechar un fallo del protocolo Wyvern, fue un ataque contra un target elegido".
Devin Finzer, CEO de OpenSea, explicó que los usuarios engañados firmaron un contrato parcial, con una autorización general y grandes huecos en blanco.
Con esa firma, los atacantes completaron el contrato con una llamada a su propio contrato, que transfirió la propiedad de los NFT sin realizar pago alguno.
En resumen, según describe el CEO de OpenSea, los usuarios fueron engañados para firmar un "cheque en blanco".
El aspecto que aún no confirmaron es a través de qué mecanismo se realizó este engaño por phishing.