El sábado, un pirata informático lanzó un ataque de phishing para obtener potencialmente cientos de NFT de los usuarios de OpenSea, uno de los mercados de NFT más grandes del mundo, con un valor de 1,7 millones de dólares. El domingo, los funcionarios de la compañía trataron de calmar a los clientes asegurándoles que era seguro intercambiar NFT en OpenSea mientras se realizaba una investigación.
Después del incidente, Devin Finzer, CEO de OpenSea, declaró que un pirata informático engañó a casi tres docenas de personas para que firmaran sin saberlo una carga dañina que autorizó la transferencia de sus NFT al atacante de forma gratuita. Finzer afirmó que la empresa estaba segura de que se trataba de un ataque de phishing, pero no sabían de dónde se originó la estafa. Actualmente se cree que el asalto se originó fuera de OpenSea, según la organización.
OpenSea pirateado: los usuarios perdieron $ 1.7 millones
La migración de OpenSea a su nuevo sistema de contrato inteligente Wyvern, que comenzó el viernes y está programada para completarse el 25 de febrero. Los piratas informáticos aprovecharon la migración y atacaron durante el proceso.
En Twitter, Finzer declaró que el asalto no se originó en el sitio web de OpenSea. También dijo que la interacción con un correo electrónico de OpenSea no fue una fuente del ataque de phishing y que ninguna de las víctimas informó haber hecho clic en enlaces recibidos en correos electrónicos no solicitados. Además, el banner del sitio, la firma del nuevo contrato inteligente Wyvern y el uso de la herramienta de migración de listados de OpenSea para migrar listados al nuevo sistema Wyvern se consideraron seguros.
Este ataque no se originó en https://t.co/TYuT1WACso.
— Devin Finzer (dfinzer.eth) (@dfinzer) 20 de febrero de 2022
Finzer afirmó que:
“Estamos trabajando activamente con los usuarios cuyos artículos fueron robados para reducir un conjunto de sitios web comunes con los que interactuaron que podrían haber sido responsables de las firmas maliciosas. Lo mantendremos informado a medida que aprendamos más sobre la naturaleza exacta del ataque de phishing”.
El domingo, Nadav Hollander de OpenSea, el CTO de la firma, describió el asalto de manera técnica. El pirata informático pudo apoderarse del dinero de la víctima haciéndose pasar por una empresa de inversión de renombre, según Hollander. El ataque no estaba relacionado con la transición al nuevo sistema de contrato Wyvern y las víctimas del ataque firmaron las órdenes de antemano.
1) Compartir un resumen técnico de los ataques de phishing dirigidos @Mar abierto usuarios, incluyendo algo de educación técnica web3.
?— Nadav Hollander (@NadavAHollander) 20 de febrero de 2022
El ataque, que tuvo lugar el sábado en el transcurso de varias horas, parece haber sido dirigido.
Hollander declaró:
“A 32 usuarios les robaron NFT en un período de tiempo relativamente corto. Esto es extremadamente desafortunado, pero sugiere un ataque dirigido en lugar de un problema sistémico”.
Aunque parece que el asalto tuvo lugar fuera de OpenSea, la compañía actualmente está ayudando a las víctimas y discutiendo formas de brindarles más apoyo.