El sábado 19 de febrero, un hackeo se cobró varias víctimas entre los usuarios de OpenSea. El ladrón pudo robar tokens no fungibles (NFT) de forma gratuita a través de una operación de phishing. Echemos un vistazo a lo que pasó.
Un nuevo hack para OpenSea
Apenas un mes después de su último hackeo, la plataforma de tokens no fungibles (NFT) OpenSea vuelve a ser noticia. Aunque esta vez no tuvo nada que ver, varios de sus usuarios se llevaron la desagradable sorpresa el sábado por la noche de que les regalaron sus NFT.
Según Devin Finzer, CEO de OpenSea, 32 usuarios del mercado fueron estafados al permitir que un contrato inteligente transfiriera su preciada colección. El método de phishing utilizado aún se desconoce, pero el fallo aquí es humano y no responsabilidad de la plataforma :
Por lo que sabemos, se trata de un ataque de phishing. No creemos que esté relacionado con el sitio web de OpenSea. Parece que 32 usuarios han firmado hasta ahora una carga maliciosa de un atacante, y algunos de sus NFTs fueron robados.
– Devin Finzer (dfinzer.eth) (@dfinzer) February 2022
Para tener éxito en su operación, el hacker desplegó su contrato inteligente hace aproximadamente un mes. Esto daba tiempo a las futuras víctimas a firmar una «media transacción» sin su conocimiento, lo que permitiría al ladrón recibir su botín de forma gratuita. Lo único que tenía que hacer el ladrón era validar finalmente las «ventas» en el momento que eligiera, lo que le permitía recuperar varios NFT en una sola transacción.
Para los más técnicos, el proceso se explica con más detalle en este hilo:
Hay confusión sobre lo del SO así que.
El atacante hizo que la gente firmara la mitad de una orden de wyvern válida, la orden estaba básicamente vacía excepto el objetivo (contrato del atacante) y calldata, el atacante firma la otra mitad de la orden.
– Neso (@Nesotual) February 2022
Después de haber tenido éxito en su operación, el hacker sólo tuvo que vender sus capturas y blanquear todo a través de la licuadora Tornado Cash. El litigio ascendería así a 1,7 millones de dólares.
En OpenSea, si tomamos al azar una de las NFTs vinculadas a este hackeo, efectivamente podemos ver en el historial que se realiza una primera transacción sin compensación a la dirección del culpable, y que la revende una hora después por 13,5 ETH.
Los humanos siguen siendo la vulnerabilidad número uno
La ironía es que esto llega 24 horas antes de la migración de los NFT de la plataforma a un nuevo contrato inteligente. El nuevo contrato es una solución para el último hackeo de OpenSea, que permitía realizar ventas muy por debajo de los precios de mercado.
Se especula sobre la supuesta identidad del culpable, pero esto sigue siendo una especulación y en el momento de escribir este artículo no hay nada que se pueda asegurar.
En cualquier caso, este hackeo nos recuerda lo necesario que es estar atentos a las transacciones que firmamos y a las autorizaciones que damos. Las cuentas de proyectos falsos son numerosas en las redes sociales, al igual que los correos electrónicos de suplantación de identidad o los mensajes privados. Muy a menudo, el primer defecto es el propio ser humano. Nadie está a salvo de un error, y por eso nunca debemos hacer transacciones «con prisas» ni manipular nuestro patrimonio cuando nuestro estado físico y emocional no está al 100%.
