Los estafadores se han aprovechado de una iniciativa de migración de contratos para estafar a los usuarios con NFT en un ataque de phishing oportunista.
La semana pasada, el mercado de NFT OpenSea anunció el lanzamiento de migraciones de contratos y una actualización para asegurarse de que los listados NFT antiguos e inactivos en Ethereum expiren de manera segura y para permitir que OpenSea «ofrezca nuevas funciones de seguridad en el futuro».
El cronograma de la migración del contrato se estableció del 18 de febrero al 25 de febrero.
Los titulares de NFT deben realizar el cambio y OpenSea publicó una guía para ayudarlos. Después de la fecha límite, los listados que no se migraron caducarían, aunque se podrían volver a listar después de esta ventana sin cargos adicionales.
Sin embargo, un atacante vio la oportunidad de cobrar. Check Point Research ha sugerido que se enviaron correos electrónicos de phishing a los usuarios, vinculándolos a sitios web fraudulentos.
«Algunos piratas informáticos aprovecharon el proceso de actualización y decidieron estafar a los usuarios de NFT utilizando el mismo correo electrónico de OpenSea y reenviándolo a las víctimas de OpenSea», dijeron los investigadores.
También: Cómo el mercado de corredores de acceso inicial conduce a ataques de ransomware
Según los informes, se instó a los usuarios del mercado a hacer clic en un enlace y firmar una transacción maliciosa que fue diseñada para parecerse a una solicitud legítima de OpenSea.
Según los investigadores, el atacante creó su contrato antes de la transición e hizo uso de atomicMatch_, una forma de solicitud «capaz de robar todos los NFTS de la víctima en una sola transacción».
La billetera conectada al ataque de phishing tenía más de dos millones de dólares después de que se vendieran algunos de los NFT robados, señaló CPR, aunque, en el momento de escribir este artículo, quedan poco más de $8,000 en la cuenta. En total, ha habido más de 350 transacciones desde esta dirección de billetera, incluidos depósitos y retiros.
Originalmente, se creía que 32 usuarios les robaron sus NFT después de ser víctimas del ataque de phishing.
«El ataque no parece estar activo en este momento; no hemos visto ninguna actividad maliciosa de la cuenta del atacante en 2 horas», dijo el director ejecutivo de OpenSea, Devin Finzer, el 20 de febrero. «Algunos de los NFT han sido devueltos. […] No tenemos conocimiento de ningún correo electrónico de phishing reciente que se haya enviado a los usuarios, pero en este momento, no sabemos qué sitio web estaba engañando a los usuarios para que firmaran mensajes de forma maliciosa».
En una actualizaciónOpenSea dijo que su equipo ha estado trabajando «las 24 horas» para investigar, y este número de presuntas víctimas se ha reducido a 17.
«Nuestro conteo original incluía a cualquiera que hubiera *interactuado* con el atacante, en lugar de aquellos que fueron víctimas del ataque de phishing», dijo OpenSea.
Ya han pasado más de 22 horas desde la última transacción fraudulenta realizada en la billetera del atacante.
Nadav Hollander, CTO de OpenSea, publicó un Hilo de Twitter que contiene la comprensión actual de la organización del ataque, que la empresa no cree que se haya originado en OpenSea.
«Todas las órdenes maliciosas contienen firmas válidas de los usuarios afectados, lo que indica que firmaron una orden en algún lugar, en algún momento», dijo Hollander. «Sin embargo, ninguna de estas órdenes se transmitió a OpenSea en el momento de la firma».
Además, las órdenes no se ejecutaron contra el nuevo contrato Wyvern 2.3.
Hollander comentó:
«32 usuarios [note: now estimated to be 17] le robaron NFT en un período de tiempo relativamente corto. Esto es extremadamente desafortunado, pero sugiere un ataque dirigido en lugar de un problema sistémico.
Esta información, junto con nuestras discusiones con los usuarios afectados y la investigación de los expertos en seguridad, sugiere una operación de phishing que se ejecutó antes de la desaprobación del contrato 2.2 dada la invalidación inminente de estas órdenes maliciosas recopiladas.
Aunque parece que el ataque se realizó desde fuera de OpenSea, estamos ayudando activamente a los usuarios afectados y discutiendo formas de brindarles asistencia adicional».
Experto en ciberseguridad dan guido también destacó los problemas de seguridad inherentes a las billeteras y su exposición a campañas de phishing.
OpenSea continúa investigando.
En otras noticias recientes de NFT, los investigadores de Fortinet advirtieron que los ciberatacantes se están aprovechando de la exageración de NFT para propagar el malware BitRAT.
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
