Gigantesca estafa cripto: roban más de 200 millones de dólares en NFT con un correo falso
A través de un ataque phishing, las víctimas han perdido más de doscientos NFTs valorados en millones de dólares, una investigación estudia lo ocurrido.
21 febrero, 2022 10:17Noticias relacionadas
Los ataques phishing también afectan a los nuevos mercados digitales como las criptomonedas y los NFTs. Esta técnica de ciberdelincuencia, que sitúa a España en el segundo puesto de países afectados, se está utilizando para robar carteras virtuales y NFTs, de igual manera que sirve para acceder a cuentas bancarias. En esta nueva tendencia, se estima que una de las grandes plataformas de blockchain, OpenSea, habría perdido 200 millones de dólares en un ataque.
Este mercado criptográfico ha abierto una investigación tras el pánico sufrido el pasado sábado 19, cuando más de dos docenas de usuarios se quedaron sin acceso a sus tokens digitales más valiosos. Es el segundo gran robo de NFTs que sufre la plataforma este año, la primera vez por un fallo en el sistema.
En nombre de OpenSea y apelando a un nuevo tipo de contrato digital sin impuestos, los cibercriminales habrían conseguido convencer a un buen número de usuarios para dejar expuestos sus tokens cuyo valor superaría el millón de dólares. La compañía está investigando lo ocurrido, pero aún no saben dónde se originó el ataque.
El email
"Puede migrar su listado Ethereum a un nuevo contrato inteligente hoy, libre de gas", este es el mensaje que circula por las redes sociales como responsable de pescar a las víctimas. El correo electrónico, a nombre de OpenSea apremia a los usuarios a migrar sus propiedades virtuales a ese nuevo contrato libre de impuestos antes del 25 de febrero.
BREAKING: Over $200,000,000 worth of NFTs have been stolen from OpenSea via an email phishing hack. pic.twitter.com/nBplXiO4gt
— Plugged Inn (@pluggedinn) February 20, 2022
Cuando los ciberdelincuentes hacen referencia a un contrato libre de gas se refieren al trámite conocido como "tarifa de gasolina". Esta tasa se debe pagar cada vez que se cambia el precio de una obra o token, un coste que los usuarios han intentado en otras ocasiones evitar pagar y también les salió mal, facilitando el robo y perdiendo mucho dinero.
Tentados por ese nuevo contrato gratuito, los usuarios habrían accedido a las indicaciones de ese email falso, aunque todavía no está claro. De las 32 cuentas atacadas se obtuvieron 254 tokens, según una hoja de cálculo del servicio de seguridad Blockchain PeckShield. Entre los NFT robados se encuentran tokens del Club de yates de monos aburridos y Azuki colecciones. El creador de la Web3, fijaba el valor de los NFTs robados en 1,7 millones de dólares el sábado 19, aunque otras fuentes suben hasta los 200 millones de dólares.
Firmaron un contrato en blanco
La plataforma ha abierto una investigación para analizar cómo se ha producido el ataque. De momento, solo saben que la estafa se originó fuera de su web. Devin Fizer, cofundador y director general de OpenSea, indica que "no tenemos conocimiento de que ninguno de los usuarios afectados reciba o haga clic en enlaces en correos electrónicos sospechosos".
Another update: over the last few hours we’ve talked to dozens of people, teams, and projects across the NFT space. https://t.co/fB5r3cMA1r
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Según The Verge, el ataque parece haber explotado una vulnerabilidad del Protocolo Wyvern, el estándar de código abierto subyacente a la mayoría de los contratos inteligentes NFT. En general, las víctimas habrían acabado firmando un contrato en blanco y, una vez firmado, los atacantes completaron el resto del contrato para tomar sus tokens.
Este robo se produce justo cuando la compañía había anunciado un nuevo contrato inteligente y pedía a las personas que migraran sus activos. Asegura OpenSea que el ataque no se ha originado en su web y que no tiene relación con sus nuevos contratos.