Un atacante está robando millones de NFT de los usuarios en OpenSea

Hoy, 19 de febrero de 2022, Usuarios de OpenSea comenzó a notar una actividad extraña en la plataforma de la empresa. Parecía que un atacante estaba usando un contrato inteligente para interactuar con el nuevo acuerdo de intercambio de OpenSea y robar millones de dólares en NFT. nft ahora ha verificado rápidamente las transacciones. En el momento de la publicación, el atacante ya había robado muchos de los NFT más populares y caros del mundo de varios usuarios.

Si estás preocupado y quieres protegerte, puedes hacerlo dar de baja el acceso a su colección NFT aquí.

Finalmente, los NFT robados incluyeron cuatro Azuki, dos Coolman, dos Doodles, dos KaijuKing, un Mutant Ape Yacht Club (MAYC), un Cool Cat y un Bored Ape Yacht Club (BAYC). Luego, el atacante vendió rápidamente los NFT robados a otros usuarios para obtener ganancias. Hasta el momento, el atacante ha vendido más de 1,7 millones de dólares en NFT robados.

Nota del editor: al momento de la publicación, el atacante había vendido $ 700,000 en NFT robados. Ese número saltó a $ 1.7 millones solo veinte minutos después. Sin embargo, la cantidad total de activos robados parece superar los millones de dólares.

El movimiento no parece ser causado por un exploit de contrato inteligente generalizado. Sino más bien, es un ataque de phishing latente. El pirata informático parecía estar usando un contrato de soporte que se implementó hace 30 días para llamar a un contrato de sistema operativo implementado hace más de cuatro años, con datos válidos de atomicMatch (para aquellos interesados ​​en una falla completa, aquí hay una descripción más detallada).

en un tuit publicado Media hora después de que los usuarios notaron la actividad por primera vez, OpenSea confirmó los rumores y afirmó que el evento parecía ser un ataque de phishing que se originó fuera del sitio web de OpenSea. En la publicación, la compañía instó a los usuarios a no hacer clic en ningún enlace fuera del sitio oficial.

Varias horas después, a las 11 p. m. EST, el cofundador y director ejecutivo de OpenSea, Devin Finzer, llevado a twitter para aclarar exactamente lo que pasó. Finzer reiteró que, según investigaciones internas, se trataba de un ataque de phishing y afirmó que al menos 32 usuarios habían iniciado sesión en una carga maliciosa del atacante. Además de eso, señaló que la compañía todavía estaba buscando respuestas. “No tenemos conocimiento de ningún correo electrónico de phishing reciente que se haya enviado a los usuarios, pero actualmente no sabemos qué sitio web estaba engañando a los usuarios para que firmaran mensajes maliciosos”, dijo.

Un viejo error y una nueva actualización chocan

Una captura de pantalla de las transacciones del atacante.

OpenSea acababa de presentar la nueva actualización de contrato inteligente el día anterior, 18 de febrero de 2022.

en un comunicado oficial anunciando la actualización, la compañía dijo que fue diseñado para eliminar anuncios inactivos en la plataforma. “Esta nueva actualización garantizará que las antiguas listas inactivas de Ethereum caduquen de forma segura y nos permitirá ofrecer nuevas funciones de seguridad en el futuro”, dijeron. Debido a la actualización, todos los usuarios de OpenSea debían migrar sus listas de NFT al nuevo contrato inteligente.

Desafortunadamente, esta no es la primera vez que ocurren problemas de este tipo. De hecho, esta última actualización se produjo precisamente porque tenía la intención de corregir un error anterior, que también costó dinero y NFT a los usuarios.

En enero de 2022, un error en OpenSea permitió a los atacantes comprar NFT seguros durante mucho tiempo. distante menos de lo que realmente valían. El error, descubierto inicialmente alrededor del 31 de diciembre de 2021, permitía a los atacantes realizar compras a precios más antiguos y más bajos. Tal Be’ery, director de tecnología de la billetera criptográfica ZenGo, señaló que una NFT de BAYC colección figuraba por debajo de su precio de julio de 2021 de solo 23 éter. Después de comprarlo a ese precio, el atacante pudo venderlo por 135 ether.

Esta es una ganancia cercana a los $ 300,000 para el delantero, según los estándares actuales, y ha resultado en enormes pérdidas para el desventurado vendedor.

El error finalmente ocurrió debido a la forma en que la plataforma OpenSea interactúa con la cadena de bloques Ethereum. Para desglosar esto, la plataforma a menudo ahorra en tarifas de gas al enumerar las ofertas localmente, en lugar de codificarlas en la cadena más grande. Sin embargo, un error en el sistema permitió que los contratos antiguos permanecieran en la cadena de bloques sin aparecer en OpenSea. Muchos de los contratos tenían años de antigüedad. Al ofertar contra tales contratos, los atacantes podrían aprovechar los precios vencidos.

OpenSea respondió al problema y ofreció a los usuarios algún tipo de reembolso. Desafortunadamente, muchos no quedaron satisfechos con su oferta.

Irónicamente, la última actualización tenía la intención de corregir este error exacto. OpenSea ha dejado en claro que el nuevo sistema está destinado a permitir que las personas cancelen todos los contratos inconclusos y solo admitan tarifas mínimas de gas. Sin embargo, parece haber causado aún más problemas a algunos usuarios que fueron víctimas del ataque de phishing.

Nos comunicamos con OpenSea, pero no respondieron de inmediato a las solicitudes de comentarios. Actualizaremos este artículo con las respuestas que recibamos. Esta es una historia en evolución y se actualizará a medida que llegue nueva información.


About Meta

Compruebe también

Domingos de CryptoArt: entrevista con Jenni Pasanen

¡Bienvenido a CryptoArt Sundays una vez más! Saluda al talentoso diseñador de movimiento y artista, …

Deja una respuesta

Tu dirección de correo electrónico no será publicada.