Metazine Tu Magazine del Metaverso. Toda la información del presente y futuro de nuestra vida digital.
A pesar de la continua volatilidad que afecta a la industria de los activos digitales, un nicho que, sin duda, ha seguido prosperando es el mercado de tokens no fungibles (NFT). Esto se hace evidente por el hecho de que un número creciente de promotores y agitadores principales, incluidos Coca-Cola, Adidas, la Bolsa de Valores de Nueva York (NYSE) y McDonalds, entre muchos otros, se han abierto paso en el próspero ecosistema del Metaverso en últimos meses. .
Además, debido a que solo en el transcurso de 2021, las ventas globales de NFT superado valorado en $ 40 mil millones, muchos analistas esperan que esta tendencia continúe en el futuro. Por ejemplo, el banco de inversión estadounidense Jefferies recientemente Levantado su previsión de capitalización de mercado para el sector NFT en más de $ 35 mil millones para 2022 y más de $ 80 mil millones para 2025, una proyección que también fue recogida por JP Morgan.
Sin embargo, como ocurre con cualquier mercado que crece a un ritmo tan exponencial, también se esperan preocupaciones de seguridad. En este sentido, el principal mercado de tokens no fungibles (NFT) OpenSea fue víctima recientemente de un ataque de phishing que ocurrió pocas horas después de que la plataforma anunciara su actualización planificada de una semana para eliminar todos los NFT inactivos.
Sumérgete en la pregunta
El 18 de febrero, OpenSea reveló que iniciaría una actualización de contrato inteligente, lo que requeriría que todos sus usuarios transfirieran sus NFT enumerados desde la cadena de bloques de Ethereum a un nuevo contrato inteligente. Debido a la actualización, los usuarios que no facilitaron la migración antes mencionada corrían el riesgo de perder sus listas antiguas e inactivas.
Dicho esto, debido a la breve fecha límite de migración de OpenSea, a los piratas informáticos se les presentó una poderosa ventana de oportunidad. A las pocas horas del anuncio, se reveló que terceros maliciosos iniciaron una sofisticada campaña de phishing, robando NFT de muchos usuarios que estaban almacenados en la plataforma antes de que pudieran migrarse al nuevo contrato inteligente.
Estamos investigando activamente los rumores de un exploit asociado con los contratos inteligentes relacionados con OpenSea. Parece ser un ataque de phishing que se origina fuera del sitio web de OpenSea. No haga clic en enlaces fuera de https://t.co/3qvMZjxmDB.
– OpenSea (@opensea) 20 de febrero de 2022
Al brindar un desglose técnico del asunto, Neeraj Murarka, director técnico y cofundador de Bluezelle, una cadena de bloques para el ecosistema GameFi, le dijo a Cointelegraph que en el momento del incidente, OpenSea estaba usando un protocolo llamado Wyvern, un módulo de tecnología estándar que La mayoría de las aplicaciones web de NFT utilizan, ya que permite la gestión, el almacenamiento y la transferencia de estos tokens dentro de las billeteras de los usuarios.
Debido a que el contrato inteligente con Wyvern permitía a los usuarios trabajar con NFT almacenados en sus “billeteras”, el pirata informático podía enviar correos electrónicos a los clientes de Opensea haciéndose pasar por el representante de la plataforma, alentándolos a firmar transacciones “ciegas”. Murarka añadió además:
“Metafóricamente, fue como escribir un cheque en blanco. Normalmente, esto está bien si el destinatario es el destinatario previsto. Tenga en cuenta que cualquier persona puede enviar un correo electrónico, pero puede parecer que lo envió otra persona. En este caso, el beneficiario parece ser un solo pirata informático que pudo usar estas transacciones firmadas para transferir y robar NFT de estos usuarios de manera efectiva.
Además, en un interesante giro de los acontecimientos, el hacker aparentemente siguió el incidente devuelto algunos de los NFT robados a sus legítimos propietarios, y se están realizando más esfuerzos para devolver otros activos perdidos. Al brindar su opinión sobre todo el asunto, Alexander Klus, fundador de Creaton, una plataforma de creación de contenido Web3, le dijo a Cointelegraph que la campaña de correo electrónico de phishing usó una transacción de firma maliciosa para aprobar que todas las existencias se pueden vaciar en cualquier momento. “Necesitamos mejores estándares de firma (EIP-712) para que las personas puedan ver realmente lo que están haciendo cuando aprueban una transacción”.
Finalmente, Lior Yaffe, cofundador y director de Jelurida, una empresa de software de cadena de bloques, señaló que el incidente fue el resultado directo de la confusión en torno a la actualización de contratos inteligentes mal planificada de OpenSea, así como la arquitectura de aprobación de las transacciones de la plataforma OpenSea.
Los mercados de NFT necesitan intensificar su juego de seguridad
Desde el punto de vista de Murarka, las aplicaciones web que utilizan el sistema de contrato inteligente Wyvern deben mejorarse con mejoras de usabilidad para garantizar que los usuarios no caigan en tales ataques de phishing una y otra vez, agregando:
“Se deben hacer advertencias muy claras para educar al usuario sobre los ataques de phishing y recordar el hecho de que nunca se enviarán correos electrónicos, instando al usuario a tomar cualquier medida. Las aplicaciones web como OpenSea deben adoptar un protocolo estricto para nunca comunicarse con los usuarios a través de correo electrónico. -mail aparte de quizás solo los datos de registro “.
Dicho esto, admitió que incluso si OpenSea adoptara los protocolos y estándares de seguridad/privacidad más seguros, aún depende de sus usuarios conocer estos riesgos. “Desafortunadamente, la aplicación web en sí misma a menudo es responsable, incluso si fue el usuario el que sufrió el phishing. ¿Quién es el responsable? La respuesta no está clara”, señaló.
Jessie Chan, jefe de personal de ParallelChain Lab, un ecosistema de cadena de bloques descentralizado, comparte un sentimiento similar, quien le dijo a Cointelegraph que no importa cómo se orquestó todo el ataque, el problema no se debe completamente a los protocolos de seguridad existentes OpenSea, sino también desde la concienciación de los usuarios frente al phishing. Queda la pregunta de si el operador del mercado debería haber sido capaz de proporcionar suficiente información a sus usuarios para mantenerlos informados sobre cómo lidiar con tales escenarios.
Otra posibilidad para mitigar cualquier posible evento de phishing es que todas las interacciones entre los usuarios y sus aplicaciones web se guíen únicamente mediante el uso de una interfaz de escritorio/móvil dedicada. “Si todas las interacciones requirieran el uso de una aplicación de escritorio, tales ataques podrían eludirse por completo”.
Al brindar su opinión sobre el tema, Yaffe señaló que el problema principal, que se encuentra en el centro de todo este problema, es la arquitectura básica de la mayoría de los mercados NFT, que permite a los usuarios simplemente firmar un documento técnico de aprobación para un contrato de terceros para use su billetera privada sin establecer un límite de gasto:
“Dado que el equipo de OpenSea no entendió realmente el origen de la operación de phishing, incluso podría volver a ocurrir la próxima vez que intenten hacer un cambio en su arquitectura”.
¿Qué se puede hacer?
Murarka señaló que la mejor manera de eliminar la posibilidad de estos ataques es si las personas comienzan a usar billeteras de hardware. Esto se debe a que la mayoría de las billeteras de software y otras soluciones de almacenamiento de custodia son demasiado vulnerables en su diseño general y perspectiva operativa. Explicó además: “Al igual que Bitcoin, Ethereum, etc., los NFT en sí mismos deben trasladarse a cuentas de billetera de hardware en lugar de dejarlos en una plataforma centralizada”, y agregó:
“Los usuarios deben ser muy conscientes de los riesgos de responder y actuar sobre los correos electrónicos que reciben. Los correos electrónicos se pueden falsificar muy fácilmente y los usuarios deben ser proactivos con respecto a la seguridad de sus criptoactivos”.
Otra cosa que los propietarios de NFT deben recordar es que solo deben visitar aplicaciones web que usan protocolos de seguridad de alta calidad, verificando que los mercados a los que se accede usen el mecanismo HTTPS (al menos) mientras aún pueden ver claramente el símbolo de un candado en la parte superior a la izquierda de la ventana del navegador, que apunta correctamente a la empresa deseada, al visitar cualquier página web.
Yaffe cree que los usuarios deben prestar atención a las aprobaciones de contratos y realizar un seguimiento preciso de los contratos a los que han dado luz verde en el pasado. “Los usuarios deben revocar las aprobaciones innecesarias o inseguras. Si es posible, los usuarios deberían especificar un límite de gasto razonable para cada aprobación de contrato”, concluye.
Relacionado: Cointelegraph se asocia con Nitro Network para llevar la minería digital y el Internet descentralizado a las masas
Finalmente, Chan cree que, en un escenario ideal, los usuarios deberían mantener sus billeteras en una plataforma dedicada que no usen para leer correos electrónicos o navegar por la web, y agregó que tales vías son propensas a todo tipo de ataques de terceros. Dijo además:
“Esto es un inconveniente, pero cuando se trata de bienes de gran valor y donde no hay recurso en caso de robo, se justifica la máxima cautela. Y, como en todas las transacciones financieras, deben tener mucho cuidado al decidir con quién tratar, ya que las contrapartes también pueden robar sus activos y desaparecer”.
Por lo tanto, a medida que ingresamos en un futuro impulsado por NFT y otras nuevas ofertas digitales similares, queda por ver cómo las plataformas que operan en este espacio continúan evolucionando y madurando, especialmente a medida que una cantidad cada vez mayor de capital continúa entrando en NFT. mercado.
