El mercado líder de NFT, OpenSea, confirmó que hackers robaron tokens por un valor estimado de 1.7 millones de dólares (mdd) en un ciberataque llevado a cabo el fin de semana.
En el ataque, que tuvo lugar entre las 17:00 y 20:00 horas ET del sábado, los ladrones engañaron a los usuarios de OpenSea para que firmaran parcialmente contratos inteligentes para permitir los intercambios. Luego completaron el proceso de contrato para transferir los NFT, o tokens no fungibles, a su propia dirección.
Es probable que los hackers usaran phishing —en el que se falsifica una comunicación oficial para que parezca real— para engañar a los propietarios de NFT para que firmaran, cree OpenSea.
“Hasta donde podemos decir, este es un ataque de phishing. No creemos que esté conectado al sitio web de OpenSea. Parece que hasta el momento 32 usuarios han firmado una carga maliciosa de un atacante, y algunos de sus NFT fueron robados”
Finzer desestimó las sugerencias de que el botín de NFT valía tanto como 200 mdd. También aclaró que el número de víctimas se había reducido a 17 personas.
«El atacante tiene 1.7 mdd en ETH en su billetera por vender algunos de los NFT robados», dijo.
La pérdida de cripto es pequeña en comparación ataques recientes de alto perfil, como el de 322 mdd de solana, que también utilizó una falla en los contratos inteligentes. Pero es una señal de que ese tipo de delitos se está volviendo más común, como sugiere un informe reciente de Chainalysis que descubrió que los delincuentes robaron criptomonedas por valor de 14,000 millones de dólares en 2021, un aumento del 80%.
Los problemas de seguridad persistentes podrían convertirse en una barrera para la adopción generalizada de cripto, dado que se está pasando una carga al usuario, advirtieron algunos analistas.
El riesgo de ataques basados en contratos inteligentes en finanzas descentralizadas, especialmente en redes en desarrollo como solana, es bastante alto, según Hart Lambur, cofundador del protocolo UMA.
«Desafortunadamente, los errores de contrato inteligente son un riesgo común en DeFi», dijo Lambur a Insider recientemente.
El hackeo de OpenSea explotó el Protocolo Wyvern, que sustenta la mayoría de los procesos de contratos inteligentes de NFT. Como el protocolo es de código abierto, el código es estándar y está disponible públicamente.
Hay tres formas de autorizar un pedido, según un explicador en el sitio web del Protocolo Wyvern.
«Las órdenes siempre deben ser autorizadas por la dirección del fabricante, quien posee el contrato de proxy que realizará la llamada. La autorización se puede hacer de tres maneras: por mensaje firmado, por aprobación previa y por aprobación de hora».
Las víctimas de OpenSea firmaron un contrato parcial para el comercio de NFT, otorgando al atacante una autorización general, pero dejándolo en blanco, algo así como firmar un cheque en blanco. Eso permitió a los hackers transferir la propiedad de los NFT sin realizar ningún pago.
Se robaron al menos 254 NFT, según la empresa de análisis cripto PeckShield, aunque la empresa no ha confirmado el recuento.
Tras hablar con los afectados, OpenSea decidió que no se utilizó un nuevo contrato de Wyvern 2.3 en el ataque de phishing, según su CEO.
Finzer dijo que también había descartado el phishing al hacer clic en el banner del sitio de OpenSea; hacer clic en un correo electrónico falso de OpenSea; o usando la herramienta de migración de listados de la plataforma. Acuñar, comprar, vender o cotizar NFT tampoco tuvo la culpa, dijo.
La plataforma NFT está investigando si las víctimas interactuaron con una lista de sitios web comunes, agregó. OpenSea no respondió a una solicitud de comentarios de Insider.
Créditos: Adam Morgan McCarthy