Usuarios de OpenSea, la mayor plataforma de tokens no fungibles (NFT), sufrieron este fin de semana varios ataques en los que les fueron sustraídos 641 ETH, $1.7 millones de dólares en este tipo de activos.
De acuerdo con The Verge, la mayor parte de los ataques tuvo lugar entre las 5:00 y las 8:00 p.m. ET y fueron dirigidos a 32 usuarios. Devin Finzer, cofundador y director ejecutivo de OpenSea, dijo que los atacantes engañaron a los propietarios de los NFT para que firmaran una carga útil maliciosa que autorizaba la transferencia de sus tokens no fungibles de manera gratuita.
This attack did not originate on https://t.co/TYuT1WACso.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Si bien la empresa cree que se trata de un ataque de phishing, no tiene claro aún de dónde provino. Quizá los usuarios pudieron haber recibido correos electrónicos de aspecto similar a los oficiales de OpenSea en los que se les instaba a mover sus NFT a la cartera de otra persona.
El saqueador pudo aprovechar que, justo el mismo día que realizó el ataque, OpenSea lanzaba un nuevo contrato inteligente y pedía a los usuarios que migraran sus participaciones. Estos pudieron firmar el payload del hacker al creer que se trataba del contrato de OpenSea.
Aunque OpenSea asegura que el atentado ha tenido lugar fuera de su plataforma, la compañía ayuda de manera activa a los usuarios afectados, por lo que realizan las investigaciones pertinentes sobre el caso. Además, recomienda a los usuarios que se aseguren de utilizar siempre el sitio web oficial opensea.io y que no confíen nunca en correos electrónicos sospechosos.
