Bajo la lupa el robo de al menos USD 1,7 millones en NFT de Ethereum en Opensea

La plataforma Opensea, uno de los marketplaces más populares para el comercio de tokens no fungibles (NFT) en la red Ethereum, está investigando el robo de activos a sus usuarios. Por lo que se sabe hasta el momento, un hacker habría engañado a decenas de personas mediante correos electrónicos con enlaces maliciosos.

Según la cuenta de Twitter @tucanalcrypto, el atacante habría enviado un correo a miles de usuarios de Opensea utilizando el dominio team@opensea.io, muy similar al oficial utilizado por la plataforma. De ese modo, los habría engañado para que firmen un contrato malicioso, una acción supuestamente necesaria para evitar la suspensión “de las cuentas no verificadas”.

Devin Finzer, uno de los cofundadores y actual director ejecutivo de la plataforma, confirmó la noticia en la medianoche del sábado. Mediante una publicación en Twitter, aseguró que “hasta el momento, creemos que se trata de un ataque de phishing”. En esa línea, descartó que el problema tenga que ver con el sitio de Opensea, sino que al parecer 32 usuarios firmaron un contrato malicioso con el atacante, lo que le permitió hacerse de sus colecciones de NFT y robarlos.

En la continuación de ese hilo, Finzer explicó que la cuenta del atacante había estado inactiva por al menos dos horas y que incluso algunos de los NFT se devolvieron a sus dueños. “Los rumores sobre un hackeo de USD 200 millones son falsos. El atacante posee USD 1,7 millón de ETH en su wallet luego de vender algunos de los NFT robados”, añadió.

Al ingresar a la que sería la wallet del atacante, se puede ver un mensaje de alerta sobre su posible relación con el hecho. Además, se pueden observar muchos movimientos de entrada y salida a través de diversos tokens en la mañana del domingo 20 de febrero.

Al cierre de redacción de esta nota, su balance era de 3,01 ether (ETH), es decir, USD 8.060 aproximadamente según la cotización actual de la criptomoneda. Sin embargo, llegó a tener mucho más, según detalla el usuario @Jon_HQ en una publicación de Twitter.

Con respecto a los correos enviados para engañar a los usuarios, el directivo de Opensea dijo que no están al tanto de correos de phishing recientes ni tampoco saben qué sitio puede haber estado engañando a los usuarios con mensajes maliciosos. En este sentido, Finzer recomendó siempre controlar por duplicado que estás interactuando con opeansea.io en el navegador al momento de firmar mensajes.

Pese a sus declaraciones, el supuesto correo malicioso que se ha compartido en redes sociales tiene ese dominio, lo que genera dudas con respecto a la información y los recursos con los que contaba el hacker.

Opensea recibe un duro golpe luego de cambiar su smart contract

La plataforma de comercio de NFT acaba de cambiar la versión de su smart contract, es decir, el contrato inteligente en el que se basan las operaciones en el sitio. La intención del cambio, concretado el pasado viernes 18 de febrero, es pasar a uno más robusto y seguro.

No obstante, pese a los esfuerzos de la compañía por prevenir este tipo de eventos, un ataque dejó en el centro de la escena a la seguridad de Opensea. De hecho, un usuario compartió en Twitter una advertencia que, según él, habría hecho el 21 de enero pasado reportando un bug que, de todos modos, no estaría vinculado al ataque reportado en el día de la fecha.

Por el momento, la información que circula es muchísima y no hay demasiadas confirmaciones oficiales por parte de la empresa. Con respecto a las especificidades técnicas del ataque, Devin Finzer compartió un hilo de @nesotual que, según su visión, está en línea con la investigación interna del equipo de Opensea.

¿Cómo prevenir un posible robo en NFT?

Debido a que el robo en cuestión se basa en la firma de un contrato inteligente malicioso que brinda al delincuente acceso a los tokens de un usuario, una posible solución al problema consiste en revocar todos los permisos otorgados.

Según compartió Devin Finzer en la publicación ya mencionada, esto puede hacerse siguiendo este enlace a Etherscan. Otra alternativa recomendada por Sibling Labs es utilizar la herramienta Revoke Cash, la cual permite revocar todos los accesos otorgados mediante la firma de un contrato con una wallet de Ethereum.