El pasado sábado, un ataque dirigido a los usuarios de la plataforma de compraventa de NFTs OpenSea, se saldó con el robo de 253 tokens valorados aproximadamente en 1.7 millones de dólares. El ataque se llevó a cabo en poco más de 3 horas, afectando a un total de 17 usuarios de la plataforma.
A través de una hoja de cálculo publicada por la empresa de seguridad PeckShield, se ha podido conocer el detalle del “botín” sustraído por los atacantes, entre los que se encuentran NFTs de Bored Ape Tatch Club y Azuki, siendo estos algunos de los NFT más caros, que estarían valorados entre 50 y 105 Ethers (unos 130.000 – 277.000 dólares americanos).
El robo de los NFT de OpenSea se llevó a cabo a través de un ataque de phising
En cuanto al origen del ataque, se habría llevado a cabo mediante un ‘exploit’ que aprovecha una vulnerabilidad del Protocolo Wyvern, el estándar de código abierto utilizado por OpenSea para firmar los contratos inteligentes asociados a los NFT.
Intentando buscar una explicación a cómo se pudo llevar a cabo el robo de los NFT, el CEO de OpenSea, Devin Finzer, indica que el ataque se habría realizado en dos fases. Primero, las víctimas habrían firmado un contrato parcial, ofreciendo una autorización general con varias partes del contrato dejadas en blanco y sin rellenar.
Después, una vez conseguida la firma de la víctima, el atacante habría podido rellenar el contrato haciendo una llamada a un segundo contrato, que ahora sí, realizaría la transferencia de la propiedad del NFT sin haber pagado por ella. Es decir, completamente gratis. Lo que viene siendo un robo en toda regla y sin que los propietarios originales pudieran hacer nada para evitarlo.
Aunque todavía no está claro qué método utilizó el atacante, todo apunta a que se empleó una técnica de ‘phising’ para engañar a las víctimas, ya que todos los contratos cuentan con una firma válida de las personas que han perdido sus NFT.
Es decir, es probable que el atacante se hiciera pasar por una entidad de confianza, como por ejemplo la propia plataforma de OpenSea. En cualquier caso, Devin Finzer también aclara que los ataques no se realizaron desde la web de OpenSea, ni de ninguno de sus sistemas de correo.
Actualmente OpenSea es uno de los lugares de creación y compraventa más importantes dentro del mercado de los NFT, en parte gracias a una interfaz amigable y fácil de usar. Lo que no ha evitado que también haya tenido varios problemas de seguridad en los últimos meses, siendo este reciente ataque el más grave sufrido hasta la fecha.
