El mayor mercado de NFT, OpenSea, tiene fallos de seguridad y deja los monederos abiertos a los ataques

  • Los hackers aprovecharon las funciones emergentes del sitio web de OpenSea para robar directamente de las criptocarteras de los usuarios.
  • OpenSea ha colaborado con Check Point en este asunto y ha redoblado sus esfuerzos para educar a los usuarios en materia de seguridad.

En menos de un mes de aceptar el uso de información privilegiada, el mayor mercado de NFT, OpenSea, vuelve a estar bajo sospecha. El mercado de NFT basado en Ethereum se ha enfrentado a una importante vulnerabilidad de seguridad según los investigadores de Check Point Software.

Los investigadores afirmaron que la vulnerabilidad permitía a los hackers robar las carteras de criptomonedas completas de los usuarios. Como se ha dicho, OpenSea ha sido el mayor mercado para la compra, venta y comercio de NFTs y otros coleccionables digitales.

CheckPoint se encontró con la vulnerabilidad por primera vez a raíz de los informes de robo de carteras de criptomonedas provocados por NFTs lanzados desde el aire. Los investigadores de Check Point descubrieron más tarde problemas de seguridad críticos «que, de ser explotados, podrían haber llevado a los hackers a secuestrar cuentas de usuario y robar carteras de criptomonedas enteras de los usuarios, mediante el envío de NFTs maliciosos».

La vulnerabilidad de seguridad de OpenSea

El método de ataque a OpenSea consistía en una forma muy sencilla de crear una NFT con una carga útil maliciosa. Luego sólo se trataba de esperar a que la víctima mordiera el anzuelo y viera el arte NFT malicioso.

Más tarde, varios usuarios informaron de que habían visto carteras de criptomonedas vacías tras recibir regalos en el mercado de OpenSea. Por lo tanto, no era más que una táctica de marketing denominada «airdropping» utilizada para promocionar nuevos activos virtuales. El ataque se basaba básicamente en la falta de atención de los usuarios y en el hecho de que OpenSea genera muchas ventanas emergentes.

Cada vez que la víctima recibía y visualizaba un NFT malicioso enviado por el hacker, se activaba una ventana emergente del dominio de almacenamiento de OpenSea. Posteriormente, solicitaba una conexión a la criptocartera de la víctima. Una vez que la víctima hiciera clic en la ventana emergente, le daría al hacker acceso a su criptobilletera y le permitiría generar otra ventana emergente.

Cuando la víctima volviera a hacer clic en ella sin darse cuenta de la nota de transacción, el hacker le robaría por completo todas sus posesiones.

Observaciones de los investigadores de Check Point

Los investigadores de Check Point decidieron echar un vistazo a cómo funciona la plataforma para descubrir las vulnerabilidades. OpenSea es compatible con varios monederos de criptomonedas de terceros, uno de los más populares es MetaMask.

Usando esto, los investigadores encontraron que cualquier acción en la cuenta requiere comunicación con la cartera. Incluso la acción de gustar el arte en el sistema requiere una solicitud de inicio de sesión de la cartera. En su blog oficial, Check Point señaló:

En nuestro escenario de ataque, se pide al usuario que firme con su cartera después de hacer clic en una imagen recibida de un tercero, lo cual es un comportamiento inesperado en OpenSea, ya que no se correlaciona con los servicios proporcionados por la plataforma OpenSea, como comprar un artículo, hacer una oferta o favorecer un artículo.

Sin embargo, parecía que muchas cosas tenían que ir mal para que el ataque funcionara. Los investigadores de Check Point informaron a OpenSea de sus hallazgos el 26 de septiembre. Ambas partes han colaborado para solucionar el problema en cuestión. OpenSea dijo que ha implementado una solución «una hora después de que se nos informara». OpenSea dijo además que está «redoblando la educación de la comunidad en materia de seguridad».

About Author

Bhushan is a FinTech enthusiast and holds a good flair for understanding financial markets. His interest in economics and finance draw his attention towards the new emerging Blockchain Technology and Cryptocurrency markets. He is continuously in a learning process and keeps himself motivated by sharing his acquired knowledge. In his free time, he reads thriller fictions novels and sometimes explores his culinary skills.

Los comentarios están cerrados.