Metazine Tu Magazine del Metaverso. Toda la información del presente y futuro de nuestra vida digital.
A pesar de la continua volatilidad que afecta al sector de activos digitales, Un nicho que ciertamente ha seguido prosperando es el mercado de tokens no fungibles (NFT)., por sus siglas en inglés). Esto se hace evidente por el hecho de que un número cada vez mayor de empresas que se mueven entre el público en general, como Coca-Cola, Adidas, la Bolsa de Valores de Nueva York (NYSE) y McDonalds, entre muchas otras, se han abierto paso en el próspero ecosistema de Metaverse. en los últimos meses.
Además, ¿por qué Solo en el transcurso de 2021, las ventas globales de NFT llegado hasta los 40.000 millones de dólares, muchos analistas esperan que esta tendencia continúe en el futuro. Por ejemplo, el banco de inversión estadounidense Jefferies Levantado recientemente su capitalización de mercado proyectada para el sector NFT en más de $ 35 mil millones para 2022 y más de $ 80 mil millones para 2025, una proyección también recogida por JP Morgan.
Sin embargo, como ocurre con cualquier mercado que crece a un ritmo tan exponencial, también se esperan problemas de seguridad. En este sentido, el destacado El mercado de tokens no fungibles (NFT) de OpenSea fue víctima recientemente de un ataque de phishing que se produjo pocas horas después de que la plataforma anunciara su actualización planificada de una semana para eliminar todos los NFT inactivos.
Más información sobre el tema
El 18 de febrero, OpenSea reveló que iniciaría una actualización de contrato inteligente, exigir a todos sus usuarios que transfieran sus NFT enumerados desde la cadena de bloques de Ethereum a un nuevo contrato inteligente. Debido a la actualización, los usuarios que no hayan facilitado dicha migración se arriesgaron a perder sus listas viejas e inactivas.
Debido a la breve ventana de migración proporcionada por OpenSea, a los piratas informáticos se les presentó una poderosa ventana de oportunidad. A las pocas horas del anuncio, se reveló que Terceros desagradables iniciaron una campaña de phishing sofisticada, robando NFT de muchos usuarios que estaban almacenados en la plataforma antes de que pudieran migrarse al nuevo contrato inteligente.
Estamos investigando activamente los rumores de un exploit asociado con los contratos inteligentes relacionados con OpenSea. Parece ser un ataque de phishing que se origina fuera del sitio web de OpenSea. No haga clic en enlaces fuera de https://t.co/3qvMZjxmDB.
– OpenSea (@opensea) 20 de febrero de 2022
Estamos investigando activamente los rumores de un exploit asociado con los contratos inteligentes relacionados con OpenSea. Parece ser un ataque de phishing que se origina fuera del sitio web de OpenSea. No haga clic en enlaces externos desde https://t.co/3qvMZjxmDB.
Al proporcionar un desglose técnico del asunto, Neeraj Murarka, CTO y cofundador de Bluezelle, un ecosistema de cadena de bloques para GameFi, le dijo a Cointelegraph que En el momento del incidente, OpenSea estaba usando un protocolo llamado Wyvern, un módulo de tecnología estándar utilizado por la mayoría de las aplicaciones web de NFT, ya que permite la gestión, el almacenamiento y la transferencia de estos tokens dentro de las billeteras de los usuarios..
Dado que el contrato inteligente con Wyvern permitió a los usuarios trabajar con NFT almacenados en sus “carteras”, un pirata informático pudo enviar correos electrónicos a los clientes de Opensea haciéndose pasar por un representante de la plataforma, animándolos a firmar transacciones “a ciegas”. Murarka añadió además:
“Metafóricamente, era como escribir un cheque en blanco. Normalmente, está bien si el beneficiario es el destinatario. Tenga en cuenta que cualquier persona puede enviar un correo electrónico, pero haga que parezca que lo envió otra persona. En este caso, el beneficiario parece ser un solo pirata informático que pudo usar estas transacciones firmadas para transferir y robar NFT de estos usuarios de manera efectiva “.
Además, en un interesante giro de los acontecimientos, después del incidente, aparentemente el hacker lo devolvió algunos de los NFT han sido robados a sus propietarios legítimos y se están realizando más esfuerzos para devolver otros activos perdidos. Alexander Klus, fundador de Creaton, una plataforma de creación de contenido de Web3, expresó su opinión sobre todo el asunto y le dijo a Cointelegraph que la campaña de correo electrónico de phishing usó una transacción de firma maliciosa para aprobar que todas las existencias podrían drenarse en cualquier momento. “Necesitamos mejores estándares de firma (EIP-712) para que las personas puedan ver realmente lo que están haciendo cuando aprueban una transacción”.
Finalmente, Lior Yaffe, cofundador y director de Jelurida, una empresa de software de cadena de bloques, señaló esto. el incidente fue el resultado directo de la confusión en torno a la actualización del contrato inteligente mal planificada de OpenSea, así como a la arquitectura de aprobación de transacciones de la plataforma.
Los mercados NFT necesitan mejorar su seguridad
Según Murarka, Las aplicaciones web que utilizan el sistema de contrato inteligente Wyvern deben fortalecerse con mejoras de usabilidad para garantizar que los usuarios no caigan en este tipo de ataque de phishing una y otra vez.y agregó que:
“Se deben enviar advertencias muy claras para educar al usuario sobre los ataques de phishing y hacerle saber que nunca se enviarán correos electrónicos pidiéndole al usuario que haga algo. Las aplicaciones web como OpenSea deben adoptar un protocolo estricto para no comunicarse nunca con los usuarios por correo electrónico”. -mail, aparte de los datos de registro”.
Dicho esto, lo admitió. Incluso si OpenSea adopta los protocolos y estándares de seguridad/privacidad más seguros, sigue siendo responsabilidad de sus usuarios informarse sobre estos riesgos.. “Desafortunadamente, a menudo se culpa a la aplicación web en sí misma, incluso si el usuario ha estado phishing. ¿Quién es el responsable? La respuesta no está clara”, dice.
Jessie Chan, jefa de personal de ParallelChain Lab, un ecosistema blockchain descentralizado, comparte una opinión similar, quien le dijo a Cointelegraph que, Independientemente de cómo se orquestó todo el ataque, el problema no se debe únicamente a los protocolos de seguridad existentes en OpenSea, sino también a la conciencia de los usuarios sobre el phishing.. Queda la pregunta de si el operador del mercado debería haber sido capaz de proporcionar suficiente información a sus usuarios para mantenerlos informados sobre cómo lidiar con tales escenarios.
Otra posibilidad para mitigar cualquier posible evento de phishing es que todas las interacciones entre los usuarios y las aplicaciones web ocurran únicamente a través del uso de una interfaz de escritorio/móvil dedicada.. “Si todas las interacciones requirieran el uso de una aplicación de escritorio, estos ataques podrían evitarse por completo”.
Ofreciendo su opinión al respecto, Yaffe señaló que el principal problema, que está en el centro de todo este asunto, es la arquitectura central de la mayoría de los mercados NFT, que permite a los usuarios simplemente firmar la aprobación del libro blanco para un contrato de terceros para usar su billetera privada sin establecer un límite de gasto:
“Dado que el equipo de OpenSea en realidad no ha descubierto el origen de la operación de phishing, es posible que vuelva a ocurrir la próxima vez que intenten realizar un cambio en su arquitectura”.
¿Qué se puede hacer?
Murarka señaló esto la mejor manera de eliminar la posibilidad de estos ataques es que las personas comiencen a usar billeteras de hardware. Esto se debe a que la mayoría de las billeteras de software, así como otras soluciones de custodia, son demasiado vulnerables en su diseño general y perspectiva operativa. Explicó además: “Al igual que con bitcoin, Ethereum, etc., los NFT en sí mismos deben trasladarse a cuentas de billetera de hardware en lugar de dejarse en una plataforma centralizada”, y agregó que:
“Los usuarios deben ser muy conscientes de los riesgos de responder a los correos electrónicos que reciben y actuar en consecuencia. Los correos electrónicos pueden falsificarse muy fácilmente y los usuarios deben ser proactivos con respecto a la seguridad de sus criptoactivos”.
Otra cosa que los propietarios de NFT deben recordar es que solo deben visitar aplicaciones web que utilicen protocolos de seguridad de alta calidad, verificar que los mercados accedidos utilicen (como mínimo) el mecanismo HTTPS y poder ver claramente el símbolo del candado en la parte superior izquierda de la ventana del navegador, que indica correctamente la empresa a la que se dirige, mientras visita cualquier página web.
Yaffe lo cree los usuarios deben prestar atención a las aprobaciones de contratos y monitorear cuidadosamente los contratos que han recibido luz verde en el pasado. “Los usuarios deben revocar aprobaciones innecesarias o inseguras. Si es posible, los usuarios deben especificar un límite de gasto razonable para cada aprobación de contrato“, concluye.
Finalmente, Chan cree que, En un escenario ideal, los usuarios deberían mantener sus billeteras en una plataforma dedicada que no usen para leer correos electrónicos o navegar por la web., agregando que cada una de estas rutas está sujeta a todo tipo de ataques por parte de terceros. Además, afirmó:
“Esto es inconveniente, pero cuando se trata de activos de alto valor y donde no hay recurso para el robo, se necesita su máxima atención. Y, como con todas las transacciones financieras, deben tener mucho cuidado al decidir con quién tratar”. con, ya que las contrapartes también pueden robar sus activos y desaparecer.
Entonces, a medida que nos dirigimos hacia un futuro impulsado por NFT y nuevas ofertas digitales similares, queda por ver cómo las plataformas que operan en este espacio continúan evolucionando y madurandoespecialmente a medida que una cantidad cada vez mayor de capital continúa ingresando al mercado NFT.
Aclaración: La información y/o las opiniones expresadas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información contenida en este documento no debe interpretarse como asesoramiento financiero o recomendaciones de inversión. Todas las inversiones y los movimientos comerciales implican un riesgo y es responsabilidad de todos investigar antes de tomar una decisión de inversión.
Sigue leyendo:
