OpenSea es la gran referencia del mundo de los NFTs. Eso no ha evitado que hayan sido víctimas de un ataque mediante phishing y hayan logrado obtener cientos de tokens, valorados en más de 1,7 millones de dólares, según ha confirmado el propio CEO de la plataforma. Una cifra que podría superar los 2,9 millones de dólares si se tiene en cuenta que los atacantes han empezado a vender los NFTs robados en la propia OpenSea.
Se trata del primer ciberataque a una gran plataforma de NFTs. Unos tokens basados en blockchain cuya popularidad se ha disparado en los últimos años, pero que no están exentos de problemas. Y uno de ellos es precisamente la seguridad.
NFTs por valor de millones de dólares obtenidos mediante phishing
Según explica la propia OpenSea, que está compartiendo bastantes detalles sobre lo ocurrido, se está investigando un «ataque de phishing» que ya no estaría activo en estos momentos. Según se describió inicialmente, fueron 32 usuarios afectados, aunque posteriormente se ha reducido esta cantidad a 17 usuarios.
En total, según el servicio de seguridad PeckShield, se han contabilizado un total de 254 NFTs robados, incluyendo varios de Decentraland y Bored Ape Yacht Club.
El ataque ha sido producido mediante phishing. Se trata de una técnica en la que se envía habitualmente un correo falso, haciendo creer al usuario que se trata de una acción oficial de la plataforma. Cuando este ingresa sus datos, los atacantes obtienen acceso a su cuenta y pueden robarle los NFTs. Según capturadas filtradas, habría sido un supuesto correo de OpenSea que habría solicitado migrar los NFTs de sitio, pero desde OpenSea niegan ese vía.
Nadav Hollander, CTO (‘Chief Technology Officer’) de OpenSea, ha explicado varios aspectos del ataque. La migración al nuevo sistema Wyvern 2.3 está en el centro del asunto, ya que habría sido la excusa utilizada por los ciberatacantes. Pero el CTO de OpenSea explica que no se ejecutó ninguna acción maliciosa relacionada con este, por lo que entienden que el ataque se realizó antes de la migración y que en vez de aprovechar un fallo del protocolo Wyvern, fue un ataque contra un target elegido.
Devin Finzer, CEO de OpenSea, también ha detallado lo ocurrido. En primer lugar, los usuarios engañados firmaron un contrato parcial, con una autorización general y grandes huecos en blanco. Con esa firma, los atacantes completaron el contrato con una llamada a su propio contrato, que transfirió la propiedad de los NFTs sin realizar pago alguno. En resumen, según describe el CEO de OpenSea, los usuarios fueron engañados para firmar un «cheque en blanco». El aspecto que no han confirmado todavía es a través de qué mecanismo se realizó este engaño por phishing.
Debido a que una de las fortalezas de los NFTs es su trazabilidad, es posible acceder al Wallet del atacante. Para avisar de este problema, desde OpenSea han añadido un mensaje de aviso indicando que esos NFTs fueron obtenidos en un ataque de phishing. Pocas veces un ladrón ha podido ser seguido con tanto detalle.