El principal mercado de tokens no fungibles (NFT), OpenSea, habría sido víctima de un ataque de phishing a las pocas horas de anunciar una actualización planificada de una semana para eliminar de la lista los NFT inactivos en la plataforma.
Ayer mismo, OpenSea anunció una actualización del contrato inteligente, que requiere que los usuarios migren sus NFT listados de la blockchain de Ethereum (ETH) a un nuevo contrato inteligente. Como resultado directo de la actualización, los usuarios que no migren desde Ethereum corren el riesgo de perder sus antiguos listados inactivos, que actualmente no requieren de cuotas de gas para la migración.
Sin embargo, la urgencia y el corto plazo abrieron una pequeña ventana de oportunidad para los hackers. Pocas horas después del anuncio de la actualización de OpenSea, surgieron informes de múltiples fuentes sobre un ataque en curso que tiene como objetivo los NFTs que están apunto de perderse.
🚨🚨OPENSEA EXPLOITED🚨🚨 Everyone tag @opensea to get them to pause their new contract while everyone figures out whats going on with the exploit! #NFT #NFTs #NFTTheft #NFTScam #NFTSecurity #NFTAlert
— gt_dog (@gt_dog84) February 20, 2022
Las investigaciones posteriores revelaron que los atacantes utilizaron correos electrónicos de suplantación de identidad para robar los NFT antes de que se migraran al nuevo contrato inteligente de OpenSea. Una vez que un usuario autoriza la migración de NFT desde el correo electrónico fraudulento, los atacantes obtienen acceso a los NFT.
Though unconfirmed, the @opensea hack is most likely phishing. Users authorize the "migration" as instructed in the phishing email and the authorization unfortunately allows the hacker to steal the valuable NFTs… pic.twitter.com/Fj5d9ImC2r
— PeckShield Inc. (@peckshield) February 20, 2022
Ahora se aconseja a los usuarios que desconfíen de todas las comunicaciones de OpenSea, además de revocar todos los permisos sobre la migración al nuevo contrato inteligente.
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea's website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
El cofundador y CEO de OpenSea, Devin Finzer, reconoció el ataque de phishing al tiempo que confirmó que 32 usuarios han perdido NFTs hasta el momento. Si bien el mercado de NFT aún no ha descifrado el ataque en curso, el investigador de blockchain Peckshield sospecha de una posible filtración de información de los usuarios (incluidos los identificadores de correo electrónico) que alimenta el ataque de phishing en curso.
No obstante, Finzer ha pedido a los usuarios afectados que se pongan en contacto con la empresa, según ha concluido:
«Si estás preocupado y quieres protegerte, puedes anular el acceso a tu colección de NFT».
Bitcoin 
Ethereum 
Tether 
BNB 
XRP 
USD Coin 
Lido Staked Ether 
Dogecoin 
Cardano 
Toncoin