Opensea, una de las más grandes plataformas de NFT de la Web3, sufrió un impensado ataque este fin de semana cuando un hacker robó 1,7 millones de dólares en tokens no fungibles de las billeteras de 17 usuarios.
La alarma sonó ayer, cuando unos usuarios comenzaron a notar que sus NFT, incluidos algunos jpg de Bored Ape Yacht Club y Mutant Ape Yacht Club, faltaban en sus billeteras. Aparte del hecho de que parece haber sido obra de una sola persona (o al menos de una sola cuenta), eso es todo lo que se sabe con seguridad en el momento de la publicación. Cómo se perdieron todas esas cosas y cuánto es el valor concreto del atraco, todavía son material de especulación.
El cofundador y director ejecutivo de Opensea, Devin Finzer, dijo que el sitio está bien y que, “por lo que sabemos”, los afectados fueron víctimas de un “ataque de phishing”.
Sin embargo, otros usuarios no están tan seguros. Algunas víctimas dicen que nunca abrieron ningún correo electrónico y que lo único que tenían en común era que habían migrado manualmente sus colecciones a un nuevo contrato inteligente en la plataforma, un movimiento que se implementó porque “soluciona un problema con listados inactivos” que permitían a los estafadores robar valiosos NFT de los coleccionistas en OpenSea.
“Estamos investigando activamente los rumores de un exploit asociado con los contratos inteligentes relacionados con OpenSea. Esto parece ser un ataque de ‘phishing’ que se origina fuera del sitio web de OpenSea. No haga clic en enlaces fuera de http://opensea.io”, advirtieron desde la cuenta oficial de OpenSea en Twitter.
También se desconoce el valor exacto en dólares de lo que fue robado. De acuerdo a los primeros informes, el valor del robo ascendió hasta los 200 millones de dólares, creyendo en un primer momento que el ataque había afectado a por lo menos 32 usuarios, sin embargo ese número y ese valor se han reducido conforme se determina el alcance del robo.
El propio Finzer afirmó que “el atacante tiene 1.7 millones (de dólares) en ETH en su billetera por vender algunos de los NFT robados”.
Una tercera posibilidad es que el atacante en realidad se las arregló para hurtar alrededor de 2.9 millones de dólares, lo que pudo hacer vendiendo los NFT robados en Opensea.
Lo más increíble es que cual Robin Hood, el atacante no solo robó, sino que devolvió parte del botín, aunque aparentemente sin saberlo, según destacó el informe del atraco virtual.
Se determinó por ejemplo, que el atacante había engañado con éxito a 32 usuarios de OpenSea para que firmaran un contrato malicioso, lo que permitió tomar los NFT y luego robarlos. Extrañamente, el pirata informático devolvió algunos de los NFT a sus propietarios originales, y una víctima recibió inexplicablemente 50 ETH 130.000 dólares del atacante, así como algunos de sus NFT robados.
El tema no es menor y tiene consternada a la comunidad blockchain pues pone en duda el discurso de máxima seguridad que los fanáticos de esta tecnología profesan fervientemente. No se supone que pasen estas cosas y menos bajo la modalidad de un ataque “phishing” o de suplantación de identidad, una de las formas de hackeo o robo virtual más antiguas y conocidas.
SEGUIR LEYENDO