Alguien hackeó el Discord oficial de OpenSea y robó las billeteras de usuarios: solo tuvieron que ofrecerles NFTs “gratuitos y limitados”

Alguien hackeó el Discord oficial de OpenSea y robó las billeteras de usuarios: solo tuvieron que ofrecerles NFTs “gratuitos y limitados”
Sin comentarios

La plataforma de NFT OpenSea, sufrió durante la madrugada de este viernes 6 de mayo un hackeo en su canal oficial de Discord, donde un bot hizo un anuncio falso sobre una supuesta asociación con Youtube y "regalando" 100 NFTs gratuitos por tiempo limitado.

Para esto se publicó un enlace "Youtube Genesis Mint Pass" que permitía obtener uno de los tokens, mismos que tendrían una "increíble utilidad" y no se podrían adquirir posteriormente. Sin embargo se trató de un ataque phishing que robó el control de las billeteras de aquellos usuarios que hicieron clic.

Esto fue dado a conocer por la empresa de seguridad de blockchain PeckShield, que catalogó la URL "youtubenft.art" como un sitio phishing, mismo que podía robar las llaves privadas, así como engañar al usuario para que este diera su token de aprobación o comprara tokens fraude.

The Verge señala que ahora los mensajes publicados en el Discord oficial de OpenSea ya no se encuentran disponibles y el sitio de pishing se encuentra caído, uno de los afectados señaló una dirección en la Blockchain perteneciente al atacante.

Gracias a este seguimiento se puede ver que en total 13 NFts se transfirieron desde cinco fuentes al momento del ataque, mismos que han sido catalogados por OpenSea como "actividad sospechosa" y se pude hacer un estimado de su costo a partir de su último precio de venta, llegando a poco más de 18,000 dólares.

Mensajes "oficiales" con enlaces phishing

Por su parte OpenSea informó que un atacante publicó enlaces maliciosos en varios de sus canales de Discord, aunque con un impacto limitado, menos de 10 billeteras fueron afectadas con artículos robados por un monto menor a 10 ethereum (es decir, por menos de 27 mil dólares o 540 mil pesos).

La plataforma incluso señaló que se dieron cuenta de los enlaces maliciosos poco después de que fueron publicados, procediendo a la eliminación de los bots y cuentas. Además se alertó a la comunidad a través del canal de soporte en Twitter par no hacer clic en ningún enlace del canal.

Por lo pronto continuarán investigando "activamente" el ataque, actualizando la situación en cuando tengan información nueva.

Nft 2
Imagen: Bjorn Pierre en Unsplash

Aunque OpenSea no ha informado exactamente la forma en que se hackeo el canal, The Verge ya había documentado que es posible tener una vulnerabilidad gracias a una API que se suele utilizar para controlar bots para hacer publicaciones, donde si un hacker tiene acceso, puede usarla para enviar mensajes que parezcan provenir de una fuente oficial.

El último caso de NFTs robados se dio tras el hackeo de las cuentas en redes sociales oficiales de Bored Ape Yacht Club con un valor aproximado de tres millones de dólares, donde se lograron sustraer 91 tokens entre Bored Apes, Mutant Apes y otras colecciones adicionales.

Imagen: Andrey Metelev en Unsplash

Temas
Inicio