La plataforma de NFT OpenSea, sufrió durante la madrugada de este viernes 6 de mayo un hackeo en su canal oficial de Discord, donde un bot hizo un anuncio falso sobre una supuesta asociación con Youtube y "regalando" 100 NFTs gratuitos por tiempo limitado.
Para esto se publicó un enlace "Youtube Genesis Mint Pass" que permitía obtener uno de los tokens, mismos que tendrían una "increíble utilidad" y no se podrían adquirir posteriormente. Sin embargo se trató de un ataque phishing que robó el control de las billeteras de aquellos usuarios que hicieron clic.
Esto fue dado a conocer por la empresa de seguridad de blockchain PeckShield, que catalogó la URL "youtubenft.art" como un sitio phishing, mismo que podía robar las llaves privadas, así como engañar al usuario para que este diera su token de aprobación o comprara tokens fraude.
#PeckShieldAlert #phishing @opensea discord is exploited, youtubenft[.]art is the phishing site. Do *NOT* fall prey to it! https://t.co/RAcRjEfuub pic.twitter.com/rjqMpTnpjW
— PeckShieldAlert (@PeckShieldAlert) May 6, 2022
The Verge señala que ahora los mensajes publicados en el Discord oficial de OpenSea ya no se encuentran disponibles y el sitio de pishing se encuentra caído, uno de los afectados señaló una dirección en la Blockchain perteneciente al atacante.
Gracias a este seguimiento se puede ver que en total 13 NFts se transfirieron desde cinco fuentes al momento del ataque, mismos que han sido catalogados por OpenSea como "actividad sospechosa" y se pude hacer un estimado de su costo a partir de su último precio de venta, llegando a poco más de 18,000 dólares.
Mensajes "oficiales" con enlaces phishing
Por su parte OpenSea informó que un atacante publicó enlaces maliciosos en varios de sus canales de Discord, aunque con un impacto limitado, menos de 10 billeteras fueron afectadas con artículos robados por un monto menor a 10 ethereum (es decir, por menos de 27 mil dólares o 540 mil pesos).
1/
— OpenSea Support (@opensea_support) May 6, 2022
Last night, an attacker posted malicious links in several of our Discord channels. Our analysis shows the attack had limited impact: <10 wallets were impacted with stolen items amounting to <10 ETH.
We’ve not seen any new malicious posts since 4:30am ET.
More 👇
La plataforma incluso señaló que se dieron cuenta de los enlaces maliciosos poco después de que fueron publicados, procediendo a la eliminación de los bots y cuentas. Además se alertó a la comunidad a través del canal de soporte en Twitter par no hacer clic en ningún enlace del canal.
Por lo pronto continuarán investigando "activamente" el ataque, actualizando la situación en cuando tengan información nueva.
Aunque OpenSea no ha informado exactamente la forma en que se hackeo el canal, The Verge ya había documentado que es posible tener una vulnerabilidad gracias a una API que se suele utilizar para controlar bots para hacer publicaciones, donde si un hacker tiene acceso, puede usarla para enviar mensajes que parezcan provenir de una fuente oficial.
El último caso de NFTs robados se dio tras el hackeo de las cuentas en redes sociales oficiales de Bored Ape Yacht Club con un valor aproximado de tres millones de dólares, donde se lograron sustraer 91 tokens entre Bored Apes, Mutant Apes y otras colecciones adicionales.
Imagen: Andrey Metelev en Unsplash
