Un hacker roba NFT por valor de 1,7 millones de dólares a 17 usuarios de OpenSea

Usuarios de OpenSea, una de las plataformas más grandes de comercio de tokens no fungibles (NFT, por sus siglas en inglés), fueron atacados por un ‘hacker’ el pasado sábado que les robó activos digitales por valor de más de un millón de dólares, según informó el director ejecutivo de la compañía en Twitter el pasado domingo.

Devin Finzer, CEO y cofundador de la plataforma, dijo que el ‘hacker’ engañó a usuarios para que firmaran una carga maliciosa, lo que le permitió obtener sus NFT de forma gratuita. «Por lo que sabemos, se trata de un ataque de ‘phishing’. No creemos que esté relacionado con el sitio web de OpenSea», tuiteó Finzer.

As far as we can tell, this is a phishing attack. We don’t believe it’s connected to the OpenSea website. It appears 32 users thus far have signed a malicious payload from an attacker, and some of their NFTs were stolen.

— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022

Aunque al principio se informó que más de treinta personas habían resultado afectadas, OpenSea ha actualizado esta información: «Hemos reducido la lista de personas afectadas a 17, en lugar de las 32 mencionadas anteriormente. Nuestro recuento inicial incluía a todos los que habían ‘interactuado’ con el intruso, en lugar de los que fueron víctimas del ataque de ‘phishing'».

1) We’ve narrowed down the list of impacted individuals to 17, rather than the previously mentioned 32. Our original count included anyone who had *interacted* with the attacker, rather than those who were victims of the phishing attack.

— OpenSea (@opensea) February 21, 2022

El ataque se produjo durante la transición de OpenSea al nuevo sistema de contratos inteligentes en los que se basan las operaciones en el portal. «Estamos investigando activamente los rumores de un exploit asociado con los contratos inteligentes relacionados con OpenSea. Esto parece ser un ataque de ‘phishing’ que se origina fuera del sitio web de OpenSea. No haga clic en enlaces fuera de http://opensea.io», advierten en la cuenta oficial de la compañía en Twitter.

We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea’s website. Do not click links outside of https://t.co/3qvMZjxmDB.

— OpenSea (@opensea) February 20, 2022

Según Finzer, la cuenta del atacante ya no está activa y algunos NFT han sido devueltos a sus propietarios. A pesar de que los primeros rumores apuntaban al robo de NFT por un valor de 200 millones de dólares, el director ejecutivo desmintió esta información, añadiendo que tras vender algunas obras digitales, el atacante recibió 1,7 millones de dólares en su billetera digital en Ethereum.