ciberdelincuentes robaron cientos de NFTs a los usuarios de OpenSea, provocando el pánico a última hora de la noche entre la amplia base de sus usuarios. Una hoja de cálculo recopilada por el servicio de seguridad de blockchain PeckShield contabilizó 254 tokens robados en el transcurso del ataque, incluyendo tokens de Decentraland y Bored Ape Yacht Club.
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, conoció quehace unos días, OpenSea publicó un artículo sobre la migración de contratos que están planeando.
La idea detrás de la migración de OpenSea es hacer frente a los listados inactivos existentes de los antiguos NFT, y para ello, están planeando actualizar a un nuevo contrato. Todos los usuarios deberán «migrar» sus listados en Ethereum al nuevo contrato inteligente. Enviaron las instrucciones: https://support.opensea.io/hc/en-us/articles/4433163594643-Smart-Contract-Upgrade-How-to-Migrate-Your-Item-Listings
Ante esta situación, algunos ciberdelincuentes se aprovecharon del proceso de actualización y decidieron estafar a los usuarios de NFT utilizando el mismo correo electrónico de OpenSea y reenviándolo a sus víctimas:
Al picar en el enlace, los usuarios eran conducidos a una página web de phishing que les pedía que firmaran una transacción que se parecía a la del blog de OpenSea:
Al firmar la transacción, se enviaría una petición atomicMatch al contrato del atacante, creado hace un mes antes de esta arremetida. (https://etherscan.io/address/0xa2c0946ad444dccf990394c5cbe019a858a945bd):
Desde ahí, el atomicMatch se transmitiría al contrato de OpenSea. atomicMath en OpenSea es responsable de todas sus transacciones con zero trust. Atomic significa que la transacción sólo se realizará si se cumplen todos los parámetros de la misma. Y así es como todos los NFTs se mueven por las cuentas en OpenSea.
Por eso el ciberdelicuente decidió utilizar el atomicMatch para robar los NFTs de las víctimas porque este tipo de petición es capaz de robar todos los NFTs en una sola transacción. El desarrollo del ataque es el siguiente:
1. La víctima hace clic en un enlace malicioso del correo electrónico de phishing.
2. El enlace abre un sitio web de phishing y pide a la víctima que firme una transacción.
3. Al firmar la transacción se enviaría una petición atomicMatch_ a 0xa2c0946ad444dccf990394c5cbe019a858a945bd (contrato del atacante).
4. El atacante reenvía la petición a atomicMath en 0x7be8076f4ea4a4ad08075c2508e481d6c946d12b (contrato OpenSea)
5. El contrato OpenSea verifica todos los parámetros del acuerdo y ejecuta la transacción porque todo está firmado por la víctima y aprobado.
6. El contrato OpenSea se comunica con los contratos NFT y transfiere el NFT de la víctima al atacante según los parámetros atomicMatch.
Todo el proceso tiene este aspecto:
Lo que es más interesante aquí, es que el ciberdelincuente ejecuta un simulacro antes del ataque. Intenta ejecutar un atomicMatch a OpenSea y verifica su ataque.
A partir de las transacciones en la cuenta del ciberdelincuente, Check Point Research puede ver que la cartera tiene más de 3 millones de dólares en Ethereum por la venta de algunos de los NFT´s robados.
https://etherscan.io/address/0x3e0defb880cd8e163bad68abe66437f99a7a8a74#internaltx
¿Cómo mantenerse protegido?
· Muchas páginas web y proyectos solicitan un acceso permanente a tus NFTs enviándote una transacción para que la firmes. Esta transacción dará acceso a los sitios web/proyectos en cualquier momento que quieran a tus NFT a menos que desapruebes la transacción en el siguiente enlace – https://etherscan.io/tokenapprovalchecker.
· Firmar una transacción es similar a darle a alguien permiso para acceder a todas tus NFT y criptomonedas. Por eso, firmar es muy peligroso. Hay que prestar mucha atención a dónde y cuándo se firma una transacción.
Los correos electrónicos de phishing pueden ser engañosos. No es recomendable hacer clic en los enlaces de los correos electrónicos, independientemente de quién sea el remitente, siempre hay que buscar la misma información en la página web del proveedor