El sábado pasado, una gran cantidad de usuarios de OpenSea descubrieron que sus cuentas habían sido pirateadas. Los rumores de que se habían robado NFT por valor de 200 millones de dólares circularon rápidamente, y los usuarios de OpenSea acudieron en masa a Twitter pidiendo apoyo y aclaraciones.
En los días siguientes, el hack fue confirmado ser mucho más pequeño de lo que se pensaba. Solo 17 usuarios perdieron tokens; 254 de ellos, para ser exactos, se estimaron en un valor colectivo de $ 1.7 millones. De acuerdo a un hoja de cálculo compilados por el servicio de seguridad de blockchain PeckShield, los NFT del Bored Ape Yacht Club, Azuki, Doodles y CloneX se encontraban entre los activos robados.
Aunque inicialmente se pensó que era un ataque que había comprometido a OpenSea, se determinó que el robo provino de un ataque de phishing que involucró el uso de correos electrónicos para difundir enlaces maliciosos que parecían provenir de fuentes legítimas. OpenSea se encuentra actualmente en el proceso de actualización de su sistema de contrato inteligente. Los piratas informáticos parecen haberse aprovechado de estas circunstancias.
Los piratas informáticos enviaron correos electrónicos a los usuarios de OpenSea pidiéndoles que vincularan un enlace que les permitiera migrar sus listados a este nuevo sistema de contratos. Al hacer clic en este enlace malicioso, los usuarios, sin darse cuenta, les dieron a los piratas informáticos la capacidad de transferir la propiedad de cualquier activo que quisieran de las billeteras Ethereum de la víctima. Los tecnicismos de este ataque fueron explicados por el usuario de Twitter Neso en un hilo que el CEO de OpenSea, Devin Finzer, retuiteó.
El equipo de OpenSea identificó qué dirección de Ethereum pertenecía al pirata informático y, en un giro confuso, parece que el pirata informático ha devuelto algunos de los NFT. El equipo de OpenSea está monitoreando la dirección y sus acciones, según tweets por Finzer.
Aunque el ataque supuestamente solo afectó a 17 usuarios de OpenSea, muchos usuarios aún no están seguros de si se vieron comprometidos en este ataque u otros.
Un usuario que se hace llamar ufoguytwitch inicialmente pensó que había sido víctima del ataque de phishing. “Pero ya no sé”, escribió a través de un mensaje directo. «Me piratearon una semana antes de que OpenSea revelara lo que sucedió y todavía no han respondido a mi queja inicial».
Otro usuario, que se hace llamar donshrimp_, está en una posición similar. También fue pirateado y perdió activos, pero no está seguro de si fue a través del ataque de phishing. “No sé qué hacer”, escribió en un mensaje directo. Dijo que OpenSea no lo contactó ni respondió a sus quejas.
Los usuarios de OpenSea se han quejado repetidamente de que el equipo de soporte de OpenSea no es lo suficientemente receptivo para atender los tickets. Un representante de la plataforma se negó a comentar.
Todavía no se sabe si OpenSea compensará a las víctimas de alguna manera o buscará un recurso legal contra el hacker. Actualmente, OpenSea está siendo demandado por negligencia por parte del usuario Timothy McKimmy, quien perdió un Bored Ape Yacht Club NFT en un ataque de phishing a principios de febrero. Aunque Coindesk informó que la demanda estaba llena de errores, la plataforma aún podría enfrentar un cargo por negligencia. Mientras tanto, OpenSea tuvo que reembolsar a los usuarios $ 1.8 millones, una pequeña suma para una empresa valorada en $ 13 mil millones, después de que un error en el sitio hizo posible que los malos actores compraran por la fuerza NFT a una fracción de su valor, informó. Fortuna.
