Un nuevo ataque a OpenSea sustrajo de millones de dólares en NFTs, nuevo suceso que podría retrasar el desarrollo de esta tecnología.
No sin reservas, muchos artistas, diseñadores gráficos y aficionados están acogiendo con entusiasmo la posibilidad de que sus diseños y creaciones sean vendidos en red a través de NFTs. No obstante, la ciberdelincuencia no ayuda.
Este mes unos ciberdelincuente robaron cientos de NFTs a los usuarios de OpenSea, provocando el pánico a última hora de la noche entre la amplia base de sus usuarios.
Una hoja de cálculo recopilada por el servicio de seguridad de blockchain PeckShield contabilizó 254 tokens robados en el transcurso del ataque, incluyendo tokens de Decentraland y Bored Ape Yacht Club.
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies, recordó que hace unos días, OpenSea publicó un artículo sobre la migración de contratos que están planeando y que, ahora, probablemente se retrase.
Phishing al acecho
La idea detrás de la migración de OpenSea es hacer frente a los listados inactivos existentes de los antiguos NFT, y para ello, están planeando actualizar en un nuevo contrato.
Todos los usuarios deberán “migrar” sus listados en Ethereum al nuevo contrato inteligente.
También enviaron las instrucciones: https://support.opensea.io/hc/en-us/articles/4433163594643-Smart-Contract-Upgrade-How-to-Migrate-Your-Item-Listings
El proceso debe haber llegado a oídos de la darknet pues algunos ciberdelincuentes se aprovecharon de la actualización y decidieron estafar a los usuarios de NFTs, utilizando el mismo correo electrónico de OpenSea y reenviándolo a sus víctimas.
Al pulsar el enlace, los usuarios fueron conducidos a una página web de phishing que les pedía firmar una transacción que se parecía a la que estaba registrada en el blog de OpenSea.
Al firmar la transacción, se enviaría una petición atomicMatch_ al contrato del atacante, que creó hace un mes antes de la arremetida. (https://etherscan.io/address/0xa2c0946ad444dccf990394c5cbe019a858a945bd).
Desde ahí, el atomicMatch_ se transmitiría al contrato de OpenSea. atomicMath en OpenSea es responsable de todas sus transacciones con zero trust. Atomic significa que la transacción sólo se realizará si se cumplen todos los parámetros de la misma. Y así es como todos los NFTs se mueven por las cuentas en OpenSea.
Red grande para pescar NFTs
Por eso el ciberdelincuente decidió utilizar el atomicMatch para robar los NFTs de la víctima porque este tipo de petición es capaz de robar todos los tokens en una sola transacción.
El desarrollo del ataque fue el siguiente:
- La víctima hace clic en un enlace malicioso del correo electrónico de phishing.
- El enlace abre un sitio web de phishing y pide a la víctima que firme una transacción.
- Al firmar la transacción se enviaría una petición atomicMatch_ a 0xa2c0946ad444dccf990394c5cbe019a858a945bd (contrato del atacante).
- El atacante reenvía la petición a atomicMath en 0x7be8076f4ea4a4ad08075c2508e481d6c946d12b (contrato OpenSea)
- El contrato OpenSea verifica todos los parámetros del trato y ejecuta la transacción porque todo está firmado por la víctima y aprobado.
- El contrato OpenSea se comunica con los contratos NFT y transfiere el NFT de la víctima al atacante según los parámetros atomicMatch.
Lo que es más interesante aquí es que el ciberdelincuente ejecuta un simulacro antes del ataque.
Intenta ejecutar un atomicMatch a OpenSea y verifica su ataque.
A partir de las transacciones en la cuenta del ciberdelincuente, Check Point Research puede ver que la cartera tiene más de US$ 3.000.000 en Ethereum por la venta de algunos de los NFTs robados.
¿Cómo mantenerse protegido?
- Muchas páginas web y proyectos solicitan un acceso permanente a tus NFTs enviándote una transacción para que la firmes. Esta transacción dará acceso a los sitios web/proyectos en cualquier momento que quieran a sus NFT a menos que desapruebes la transacción en el siguiente enlace – https://etherscan.io/tokenapprovalchecker.
- Firmar una transacción es similar a darle a alguien permiso para acceder a todas tus NFT y criptomonedas. Por eso, firmar es muy peligroso. Hay que prestar mucha atención a dónde y cuándo se firma una transacción.
- Los correos electrónicos de phishing pueden ser engañosos. No es recomendable hacer clic en los enlaces de los correos electrónicos, independientemente de quién sea el remitente, siempre hay que buscar la misma información en la página web del proveedor.