El mercado de tokens no fungibles (NFT), OpenSea, ha sido víctima de un ataque de phishing pocas horas después de anunciar una actualización para eliminar los NFT inactivos en la plataforma.
Durante el fin de semana, OpenSea anunció una actualización de contrato inteligente, que requiere que los usuarios migren sus NFT enumerados de la cadena de bloques Ethereum (ETH) a un nuevo contrato inteligente. Como resultado de la actualización, los usuarios que no migren sus activos digitales desde Ethereum corren el riesgo de perder sus listados antiguos e inactivos.
Sin embargo, la urgencia y el corto plazo abrieron una oportunidad para los piratas informáticos. Pocas horas después del anuncio de actualización de OpenSea, surgieron informes de múltiples fuentes sobre un ataque en curso que apuntaban a los NFT que pronto serían eliminados de la lista.
Investigaciones posteriores revelaron que los atacantes usaron correos electrónicos de phishing para robar los NFT antes de que migraran al nuevo contrato inteligente. Una vez el usuario autoriza la migración de los NFT desde el correo electrónico fraudulento, los atacantes obtienen acceso a estos.
Ahora se recomienda a los usuarios que desconfíen de todas las comunicaciones de OpenSea y que revoquen todos los permisos sobre la migración al nuevo contrato inteligente, mientras finaliza la investigación.
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea’s website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
El cofundador y director ejecutivo de OpenSea, Devin Finzer, reconoció el ataque de phishing y confirmó que 32 usuarios perdieron sus NFT. Si bien el mercado de NFT aún debe investigar el ataque, Peckshield, compañía investigadora de blockchain, sospecha una posible fuga de información (incluidas las identificaciones de correo electrónico) como parte del ataque de phishing.
Sin embargo, Finzer ha pedido a los usuarios afectados que se comuniquen con la empresa y concluyó: “Si están preocupados y quieren protegerse, pueden anular la aprobación del acceso a su colección de NFT”.
La supuesta dirección del atacante (que Etherscan ya ha marcado con una insignia de advertencia de “phish/hack”) contiene alrededor de 1.7 millones de dólares en ETH, así como tres tokens de la colección Bored Ape Yacht Club, dos Cool Cats, un Doodle y un Azuki.
Fuente: Cointelegraph y CoinDesk.
