Alrededor de las 4:30 a. m. ET del viernes, el canal oficial de Discord para OpenSea, el mercado de NFT más grande del mundo, se unió a la creciente lista de comunidades de NFT que han expuesto a los participantes a ataques de phishing.
En este caso, un bot hizo un anuncio falso sobre la asociación de OpenSea con YouTube, incitando a los usuarios a hacer clic en un enlace “YouTube Genesis Mint Pass” para obtener uno de los 100 NFT gratuitos con una “increíble utilidad” antes de que desaparezcan para siempre, como así como algunos mensajes de seguimiento. Empresa de seguimiento de seguridad de blockchain PeckShield etiquetó la URL que vincularon los atacantes, “youtubenft[.]art” como un sitio de phishing, que ahora no está disponible.
Si bien los mensajes y el sitio de phishing ya no están, una persona que dijo que perdió NFT en el incidente señaló que esta dirección en la cadena de bloques pertenecía al atacante, por lo que podemos ver más información sobre lo que sucedió a continuación. Si bien esa identidad ha sido bloqueada en el sitio de OpenSea, verla a través de Etherscan.io o un mercado NFT de la competencia, Rarible, muestra que se transfirieron 13 NFT desde cinco fuentes alrededor del momento del ataque. Ahora también se informan en OpenSea por “actividad sospechosa” y, según sus precios cuando se vendieron por última vez, parecen valer un poco más de $ 18,000.
![Una captura de pantalla del botín del ladrón como se ve en Rarible](https://cdn.vox-cdn.com/thumbor/RpVxLX1klUPP2R0_iCfZhMo6PLA=/0x0:1541x1069/1200x0/filters:focal(0x0:1541x1069):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/23442099/opensea_phishing_rarible.jpg)
Este tipo de ataque intermediario en el que los estafadores explotan a los comerciantes de NFT que buscan capitalizar los “lanzamientos aéreos” se ha vuelto común para las organizaciones prominentes de Web3. Es común que los anuncios aparezcan de la nada, y la naturaleza de la cadena de bloques puede dar a algunos usuarios razones para hacer clic primero y considerar las consecuencias más adelante.
Más allá del deseo de enganchar artículos raros, existe el conocimiento de que esperar puede hacer que acuñar su NFT en medio de un apuro sea mucho más lento, más costoso o incluso imposible (si se queda sin fondos durante el proceso). Si han dejado artículos o criptomonedas en su monedero caliente que está conectado a Internet, entonces entregar los datos de inicio de sesión a un phisher podría revelarlos en segundos.
En un comunicado a el borde, La portavoz de OpenSea, Allie Mack, confirmó el incidente y dijo: “Anoche, un atacante pudo publicar enlaces maliciosos en varios de nuestros canales de Discord. Nos dimos cuenta de los enlaces maliciosos poco después de que se publicaron y tomamos medidas inmediatas para remediar la situación, incluida la eliminación de los bots y cuentas maliciosos. También alertamos a nuestra comunidad a través de nuestro canal de soporte de Twitter para que no haga clic en ningún enlace en nuestro Discord. No hemos visto ninguna publicación maliciosa nueva desde las 4:30 am ET”.
“Seguimos investigando activamente este ataque y mantendremos a nuestra comunidad al tanto de cualquier información nueva relevante. Nuestro análisis preliminar indica que el ataque tuvo un impacto limitado. Actualmente tenemos conocimiento de menos de 10 billeteras afectadas y artículos robados por menos de 10 ETH”, dice Mack.
No haga clic en enlaces en nuestro Discord.
Continuamos investigando esta situación y compartiremos información a medida que la tengamos. https://t.co/jgtHcXifer
— Soporte de OpenSea (@opensea_support) 6 de mayo de 2022
OpenSea no ha hecho una declaración sobre cómo se pirateó el canal, pero como explicamos en diciembre, un punto de entrada para este estilo de ataque es la función de webhooks que las organizaciones suelen usar para controlar los bots en sus canales para hacer publicaciones. Si un hacker obtiene acceso o compromete la cuenta de alguien autorizado, puede usarla para enviar un mensaje y/o URL que parece provenir de una fuente oficial.
Los ataques recientes incluyen uno que robó $800,000 en baratijas de blockchain de Discord de “Rare Bears”, y el Bored Ape Yacht Club anunció que su canal había sido comprometido el 1 de abril. El 25 de abril, el Instagram de BAYC sirvió como conducto para un atraco similar que atrapó más de $ 1 millón en NFT con solo enviar un enlace de phishing.