Robo en un 'museo' NFT: desaparecen 1,7 millones de dólares en obras digitales tras un phishing

OpenSea, una de las principales plataformas de compraventa, subasta y exposición de NFT, ha sufrido un ciberataque que ha supuesto el robo de las obras digitales de varios de sus usuarios, ha reconocido la compañía. Los delincuentes consiguieron colarse en la plataforma y suplantar su identidad para que las víctimas firmaran un nuevo contrato de gestión de las obras, que en realidad era una trampa que permitía a los atacantes hacerse con su control.

El ciberataque responde a un método de phishing como los que afectan a usuarios de todo el mundo, en los que los estafadores suplantan a bancos, instituciones públicas o empresas de paquetería. En esta ocasión, las víctimas han sido los poseedores de estos criptoactivos que explotaron en 2021 como una vía para la compraventa de obras de arte digital. “Nuestro equipo ha estado trabajando sin descanso para investigar los detalles específicos de este ataque de phishing”, afirma OpenSea, que reconoce que “todavía no ha determinado el origen exacto”.

La voz de alarma saltó el sábado después de que algunos afectados vieran como sus NFT había desaparecido de sus cuentas. El valor de los archivos sustraídos asciende a más de 1,7 millones de dólares, ha apuntado Molly White, una bloguera de referencia en el mundo cripto que ha estado en contacto con las víctimas. La plataforma no ha confirmado la cifra pero sí ha afirmado que el número de afectados es menor que el anunciado en un primer momento: “Hemos reducido la lista de personas afectadas a 17, en lugar de las 32 mencionadas anteriormente”.

“El ataque no parece estar activo en este momento. No ha habido actividad en el contrato malicioso en más de 15 horas”, tuiteaba sobre las 5 de la mañana (hora española) OpenSea, radicada en Nueva York.

Según han explicado en Twitter algunos de los afectados, recoge el medio estadounidense The Verge, el atacante consiguió suplantar a OpenSea y convencer a las víctimas de que firmaran un contrato parcial, que en realidad era una autorización general con grandes partes en blanco. Con la firma, los delincuentes completaron el contrato con una orden de transferir la propiedad de los NFT sin ninguna contraprestación. Es decir, las víctimas firmaron un cheque en blanco que luego los estafadores rellenaron para robarles.

En ese proceso los ciberatacantes llevaron a cabo prácticas sin sentido aparente, ha revelado Molly White. “El hacker devolvió algunos de los NFT a sus propietarios originales, y una víctima recibió inexplicablemente 50 ETH (130.000 dólares) del atacante, así como algunos de sus NFT robados. Posteriormente, el atacante transfirió 1.115 ETH obtenidos del ataque a un tumbler de criptomonedas, por un valor de alrededor de 2,9 millones de dólares”, explica en su blog.

Un tumbler de criptomonedas, que se puede traducir como mezclador, es un servicio que se utiliza para esconder el rastro de criptomonedas comprometidas. Las operaciones con estos activos digitales quedan registrados en un libro de registro público y del que cada usuario tiene una copia, dificultando el ocultamiento de un NFT o criptomoneda relacionado con un ilícito. Lo que hace un mezclador es, a grandes rasgos, inundar ese libro con decenas de miles de operaciones en las que las criptomonedas comprometidas se mezclan con otros fondos de origen lícito, de forma que es casi imposible trazar los fondos.

Pese a que una de los puntos fuertes que alegan los partidarios de las criptomonedas es la seguridad que se deriva de ese método de control descentralizado, estos activos no están a salvo de robos. A finales de enero Crypto.com, otra de las plataformas de intercambios más importantes, reconoció un robo de 30 millones de dólares en Bitcoin y Ethereum. La compañía se comprometió restituir a los afectados las sumas sustraídas.