¿Cómo robaron casi USD 2 millones en NFT a OpenSea?

El pasado fin de semana, decenas de usuarios de OpenSea se vieron amenazados por un robo colectivo de tokens no fungibles (NFT) en la plataforma. El atacante, de quien aún se desconoce la identidad, accedió a miles de correos y les envió un enlace malicioso haciéndose pasar por el marketplace para hacerlos firmar un contrato inteligente que le cedía sus activos.

Como reportó CriptoNoticias el domingo 20 de febrero, el ladrón ya había vendido alguno de los tokens robados, y así logró hacerse con la suma de 1,7 millones de dólares. Aunque 32 personas interactuaron con el smart contract falso, solo 17 de ellas sufrieron la pérdida de tokens hasta ahora, según detalló Opensea.

Devin Finzer, uno de los cofundadores del marketplace, aseguró que el ataque no tuvo nada que ver con su sitio, sino que se debió a un caso de phishing. Este tipo de hackeo consiste en enviar un enlace malicioso que “engaña” al usuario para colocar sus contraseñas en plataformas falsas o conceder permisos a estafadores. Esto último ocurrió en este caso.

Más allá del panorama general con el que se contaba en esas primeras horas, con el transcurso del tiempo se fueron conociendo algunos detalles más acerca del episodio. Para aportar un poco más de claridad al asunto, el propio Finzer compartió un hilo de Twitter publicado por Nadav Hollander, CTO de OpenSea.

Detalles sobre el robo en OpenSea

Hollander, máximo responsable en materia de tecnología del marketplace de NFT, explicó en principio que todas las órdenes maliciosas estaban firmadas por los usuarios afectados. Esto, argumenta, es una prueba de que ellos concedieron los permisos para acceder a sus colecciones en algún lugar y momento.

Esta versión es confirmada por el usuario @nesotual, cuyo análisis también fue compartido por Devin Finzer por estar “alineado con lo que considera OpenSea que puede haber pasado”. Según las observaciones de Neso, todo aquel que diga que no ha caído en un ataque de phishing “está tristemente equivocado”, ya que todas las transacciones tienen firmas válidas de las víctimas.

No obstante, Hollander detalló que las órdenes no se enviaron a OpenSea luego de ser firmadas. Asimismo, ninguna fue ejecutada mediante el nuevo contrato de la plataforma, Wyvern 2.3, lanzado oficialmente el viernes 18 de febrero. Como consecuencia, dice Hollander, se puede afirmar que las órdenes fueron firmadas antes de la migración al nuevo contrato y que es improbable que el hecho se relacione con ese flujo de migración.

El ataque, de acuerdo a la visión del experto, fue dirigido a un grupo selecto de usuarios y no se trató de algo sistémico. El hecho de que hubiera 32 afectados por la maniobra fraudulenta fue “extremadamente desafortunado”, aseguró Hollander. Esta cifra se redujo luego a 17 víctimas, según manifestó OpenSea en su cuenta de Twitter.

No obstante, lo que no se sabe aún es cómo el atacante tuvo acceso a la lista de correos de usuarios de OpenSea. En principio, el correo se habría enviado a miles de direcciones, aunque no se informó un número específico.

Las firmas off-chain, algo a lo que hay que prestar atención

Para facilitar a los usuarios la gestión de las firmas off-chain, el marketplace implementó recientemente la EIP-712, una mejora de Ethereum que tiene como finalidad mostrar las firmas de un modo más legible antes de que el usuario las convalide. Esto, afirma el experto, permite prevenir ataques como el ocurrido el pasado fin de semana, ya que sería más fácil detectar cualquier irregularidad.

Finalmente, el CTO de OpenSea aseguró que la firma de mensajes off-chain demanda los mismos esfuerzos educativos que la importancia de no compartir las frases semilla de una wallet. La comunidad debe avanzar hacia un estándar en este sentido, por ejemplo, utilizando la mencionada EIP-712 o la EIP-4361, que permite inicios de sesión basados en Ethereum para plataformas off-chain.

Mientras tanto, aunque asegura que el ataque no provino desde el interior de OpenSea, Hollander ratificó que la compañía se encuentra haciendo todo lo posible para asistir a los usuarios damnificados.