OpenSea es un marketplace descentralizado que se enfoca en la comercialización de activos digitales denominados tokens no fungibles o NFTs (“non-fungible token”, por sus siglas en inglés).

Un NFT es un registro de datos no encriptados que equivalen a la firma en un cuadro de pintura. Los NFTs son utilizados como las “nuevas obras de arte” digitales que se pueden poseer, comprar y vender como cualquier otro artículo. Dentro de cada NFT se encuentra la información del creador del contenido, el precio al que se vendió y quién es el propietario. Los NFTs son almacenados en el blockchain.

El pasado sábado 19 de febrero, 32 usuarios de la plataforma OpenSea perdieron aproximadamente 2.9 millones de dólares (según estimaciones del blog Web3 is Going Great) en NFTs, por medio de una vieja estrategia que jamás pasará de moda, el Phishing. El atacante había enviado a miles de usuarios de la plataforma un correo Phishing, usando la cuenta de correo team[@]opensea.io (cuenta muy parecida a la utilizada oficialmente por el servicio), para que firmaran un contrato malintencionado bajo la premisa de que sus cuentas fueran “verificadas” y no fueran suspendidas. Al firmar este “contrato parcial”, los 32 usuarios autorizaron una vinculación al contrato del atacante, transfiriendo así la propiedad de los NFT sin ningún pago o comisión. Básicamente, esto es equivalente a firmar un cheque en blanco. Extrañamente el atacante devolvió algunos NFTs a sus propietarios, e incluso uno de ellos recibió adicionalmente 50 ETH. Posteriormente el atacante pudo transferir 1,115 ETH a un crypto wallet, el cual ya se encuentra reportado con una posible vinculación al robo.

De acuerdo con la cuenta de Twitter del CEO de OpenSea, Devin Finzer, el ataque parece haber aprovechado la flexibilidad del protocolo Wyvern, que es el estándar de código abierto en la mayoría de los contratos inteligentes de NFT, y que utiliza OpenSea.

Hasta el momento no se tiene claro cuál fue exactamente el método utilizado para que las víctimas firmaran el “contrato parcial” enviado en el correo Phishing, pero Devin Finzer señaló que los atacantes no comprometieron a OpenSea, sus sistemas de listado o algún correo electrónico de la compañía.

Como medidas para evitar ser víctimas de este tipo de ataque de Phishing, se lista una serie de recomendaciones.

1. Si el mensaje lo invita a acceder a un sitio web a través de un enlace incluido en su contenido, valide el nombre original de la página; no deberá contener partes del nombre de la empresa.
2. No envíe información personal a través de mensajes de correo electrónico.
3. No autorice cambios desde un correo electrónico.
4. Verifique en la página oficial de la empresa la información o aviso que está recibiendo por correo electrónico.
5. No descargue ni abra archivos de fuentes no confiables.
6. No conteste ningún mensaje que resulte sospechoso.

Con la llegada del Metaverso, los NFTs serán los blancos para muchos cibercriminales.

Referencias:
https://www.santander.com/es/stories/que-son-los-nft
https://marketing4ecommerce.net/opensea-que-es-y-como-funciona-el-mayor-marketplace-de-coleccionables-digitales-de-internet/
https://web3isgoinggreat.com/?id=2022-02-19-0
https://twitter.com/dfinzer
https://twitter.com/tucanalcrypto/status/1495297436633518084?s=20&t=KsqHepX3cirpuUcOvxeU2A
https://etherscan.io/address/0x3e0defb880cd8e163bad68abe66437f99a7a8a74