Este sábado 19 de febrero, al menos tres decenas de usuarios de OpenSea, uno de los mercados más grandes de tokens no fungibles (NFT) vivieron horas de terror cuando descubrieron que algunas de sus obras que se encontraban en dicha plataforma habían sido robadas.
Se trató de un ataque de phishing y los ciberdelincuentes lograron robar hasta 1.7 millones de dólares en obras de arte digital de al menos 32 usuarios afectados según confirmó Devin Finzer, CEO de OpenSea.
“Hemos estrechado la lista de individuos afectados a 17, en lugar de los 32 previamente mencionados”, afirmó esta mañana OpenSea en un tuit, en el que explicó que se había obtenido la cifra inicial contando simplemente la cantidad de usuarios que habían interactuado con el atacante.
La compañía también aseguró que el ataque “ya no está activo” y señaló que se está trabajando “a todas horas” para tratar de determinar “la fuente exacta” del robo.
¿Cómo sucedió el robo?
OpenSea informó que ya está investigando lo ocurrido, pero aún no saben dónde se originó el ataque. En total, según el servicio de seguridad PeckShield, se contabilizaron un total de 254 NFTs robados, incluyendo varios de Decentraland y Bored Ape Yacht Club.
El CEO explicó que los ciberdelincuentes hicieron uso de la técnica de phishing, mediante un correo falso de OpenSea, desde donde se solicitaba a los usuarios de la plataforma que migraran los NFTs de sitio. Gracias al correo falso, los usuarios terminaron por caer en la trampa, pues creyeron que en realidad se trataba de una acción oficial de la plataforma y cuando ingresaron sus datos, los atacantes lograron obtener acceso a sus cuentas y pudieron robar los NFTs.
Los usuarios firmaron un cheque en blanco
A pesar de que los usuarios aseguran que no estuvieron en contacto con los delincuentes, tal parece ser que, a través del correo falso que recibieron, los clientes terminaron por firmar un cheque en blanco, pues según el CEO de la compañía, todos habían firmado un contrato parcial, con una autorización general y grandes huecos en blanco.
Una vez que se hicieron de la firma de las víctimas en dicho documento, los atacantes simplemente lo completaron para transferir la propiedad de los NFTs a sus cuentas sin realizar pago alguno.
No obstante, la investigación continúa pues los detalles de la ofensiva siguen sin estar claros, en particular la forma en que los atacantes lograron que los objetivos firmaran el contrato vacío, pues la empresa afirma que los ataques no se originaron en el sitio de OpenSea, sus sistemas de listado o cualquier correo electrónico de la compañía.
Este es el segundo gran golpe que sufre la plataforma en lo que va del año, la primera vez por un fallo en el sistema y, de acuerdo con The Verge, en este caso, en el momento del ataque OpenSea estaba actualizando su sistema.
Sigue a Heraldo Binario en Google News, dale CLIC AQUÍ.