Tue. Jun 28th, 2022

El sábado, los atacantes robaron cientos de NFT de los usuarios de OpenSea, lo que provocó un pánico nocturno entre la amplia base de usuarios del sitio. Una hoja de cálculo compilada por el servicio de seguridad de blockchain PeckShield contó 254 tokens robados en el transcurso del ataque, incluidos tokens de Decentraland y Bored Ape Yacht Club. La mayor parte de los ataques tuvo lugar entre las 5:00 p. m. y las 8:00 p. m. ET, y se dirigió a 32 usuarios en total. Molly White, que dirige el blog Web3 is Going Great, estimó el valor de los tokens robados en más de 1,7 millones de dólares. “Todos tienen firmas válidas” El ataque parece haber explotado una flexibilidad en el Protocolo Wyvern, el estándar de código abierto que subyace en la mayoría de los contratos inteligentes NFT, incluidos los realizados en OpenSea. Una explicación (vinculada por el CEO Devin Finzer en Twitter) describió el ataque en dos partes: primero, los objetivos firmaron un contrato parcial, con una autorización general y gran parte en blanco. Con la firma en su lugar, los atacantes completaron el contrato con una llamada a su propio contrato, que transfirió la propiedad de los NFT sin pago. En esencia, los objetivos del ataque habían firmado un cheque en blanco y, una vez firmado, los atacantes completaron el resto del cheque para tomar sus posesiones. “Revisé cada transacción”, dijo el usuario, que pasa por Neso. “Todos tienen firmas válidas de las personas que perdieron NFT, por lo que cualquier persona que afirme que no fue víctima de phishing pero perdió NFT está lamentablemente equivocada”. Con un valor de $ 13 mil millones en una ronda de financiación reciente, OpenSea se ha convertido en una de las compañías más valiosas del auge de NFT, proporcionando una interfaz simple para que los usuarios enumeren, exploren y ofrezcan tokens sin interactuar directamente con la cadena de bloques. Ese éxito ha venido acompañado de importantes problemas de seguridad, ya que la empresa ha luchado contra ataques que aprovecharon contratos antiguos o tokens envenenados para robar las valiosas propiedades de los usuarios. OpenSea estaba en proceso de actualizar su sistema de contratos cuando se produjo el ataque, pero OpenSea ha negado que el ataque se haya originado con los nuevos contratos. El número relativamente pequeño de objetivos hace que tal vulnerabilidad sea poco probable, ya que cualquier falla en la plataforma más amplia probablemente se explotaría a una escala mucho mayor. Aún así, muchos detalles del ataque siguen sin estar claros, en particular el método que usaron los atacantes para lograr que los objetivos firmaran el contrato medio vacío. Escribiendo en Twitter poco antes de las 3 a.m. ET, el CEO de OpenSea, Devin Finzer, dijo que los ataques no se habían originado en Sitio web de OpenSea, sus diversos sistemas de listadoo cualquier correo electrónico de la empresa. El rápido ritmo del ataque (cientos de transacciones en cuestión de horas) sugiere algún vector común de ataque, pero hasta el momento no se ha descubierto ningún vínculo. “Los mantendremos informados a medida que aprendamos más sobre la naturaleza exacta del ataque de phishing”, dijo Finzer en Twitter. “Si tiene información específica que podría ser útil, por favor envíe un DM @opensea_support.” Emma Roth también contribuyó con el reportaje.

By Erica Flores

Enamorada de la tecnología. Apasionada de la velocidad que la información puede adquirir en este mundo cambiante. Actualmente residiendo en Barcelona.