Esta es la consecuencia de un intento de phishing que tuvo como objetivo a los usuarios de Opensea cuando estaban haciendo una actualización de contratos en su plataforma.
Opensea, la mayor plataforma de tokens no fungibles (NFT) del mercado de las criptomonedas, ha sufrido un ataque de phishing que ha provocado la pérdida de 254 NFT valorados en 2,9 millones de dólares como consecuencia del ataque.
Devin Finzer, cofundador y CEO de Opensea, reconoció el ataque en Twitter, citando como fuentes de información a grupos de investigación y ciberseguridad como PeckShield Inc. El analista financiero Finzer cree que el ataque no está directamente relacionado con la plataforma de Opensea, sino que los clientes del mercado NFT están siendo víctimas de phishing mediante falsos correos electrónicos de Opensea que pretenden confundirlos.
Opensea ha recomendado a los usuarios de Ethereum NFT que transfieran sus activos digitales a un nuevo contrato en la red, en lugar de almacenarlos en un contrato antiguo. La transferencia, que duró una semana, dejó al descubierto un fallo de seguridad que agentes sin escrúpulos aprovecharon para robar NFT de clientes ingenuos que no eran conscientes de la situación.
Los usuarios de Opensea han sido víctimas de phishing
Se ha afirmado que se ha publicado en las redes sociales un enlace falso que dirige a los usuarios al nuevo contrato inteligente de Ethereum para cambiar sus NFT sin pagar los costes de gas. PeckShield Inc. informa a los consumidores de que, al responder al falso correo electrónico, están concediendo a los piratas informáticos el acceso a su almacenamiento conectado a la red (NFT).
Though unconfirmed, the @opensea hack is most likely phishing. Users authorize the "migration" as instructed in the phishing email and the authorization unfortunately allows the hacker to steal the valuable NFTs… pic.twitter.com/Fj5d9ImC2r
— PeckShield Inc. (@peckshield) February 20, 2022
El phishing es responsable del robo de 254 NFT.
Chainalysis, una empresa de seguridad y análisis de blockchain, ha publicado una lista de NFTs que fueron robados a los usuarios de Opensea. Los atacantes también están explotando la plataforma de mezcla Tornado Cash para blanquear 1.100 ETH (unos 2,9 millones de dólares) procedentes de la venta de los NFT asociados a la brecha a través de la plataforma de mezcla Tornado Cash.
Casi dos docenas de tokens no fungibles de Azuki, uno de los tokens no fungibles más negociaacdos en las últimas semanas, estaban entre los tokens no fungibles robados. También se incautaron NFT de Bored Ape Yacht Club (BAYC), Mutant Ape Yacht Club (MAYC), Cool Cats e incluso de Ethereum Name Service (ENS).
El precio de venta mínimo actual de los NFT de la colección Azuki es de 13,5 ETH (35.740 dólares), mientras que los NFT de BAYC y MAYC son de 92 ETH (243.600 dólares) y 18,9 ETH (50.000 dólares), respectivamente.
Recomendaciones
En su informe más reciente, Finzer afirmó que la cuenta atacada parecía estar inactiva, y que algunos usuarios habían recibido sus NFT robados restaurados. En el caso de un ataque de phishing, el CEO de Opensea recomienda a los usuarios que se pongan en contacto con la cuenta oficial de soporte de Opensea en Twitter. También anima a los usuarios a desactivar la autorización y los derechos de acceso a los NFT hasta que se solucione el problema.
El ataque está siendo investigado por los desarrolladores de Opensea, que ofrecerán un informe completo lo antes posible. Mientras tanto, Finzer argumentó que esto constituía un exploit del mercado NFT. Según dijo en Twitter, en su momento se sospechó de una brecha de 200 millones de dólares en la red. También se desconoce desde qué usuarios de la plataforma se lanzó el intento de phishing, según el CTO de Opensea, Nadav Hollander.
– All of the malicious orders contain valid signatures from the affected users, indicating that they did sign an order somewhere, at some point in time. However, none of these orders were broadcasted to OpenSea at the time of signing.
— Nadav Hollander (@NadavAHollander) February 20, 2022
