El escándalo de phishing de Opensea revela una necesidad de seguridad en todo el panorama de NFT


A pesar de la volatilidad continua que afecta al sector de los activos digitales, un nicho que, sin duda, ha seguido floreciendo es el mercado de tokens no fungibles (NFT). Esto se hace evidente por el hecho de que un número cada vez mayor de los principales impulsores y agitadores, incluidos Coca-Cola, Adidas, la Bolsa de Valores de Nueva York (NYSE) y McDonalds, entre muchos otros, se han abierto camino en el floreciente ecosistema de Metaverse. En meses recientes.

Además, debido al hecho de que solo en el transcurso de 2021, las ventas globales de NFT rematado a $ 40 mil millones, muchos analistas esperan que esta tendencia continúe en el futuro. Por ejemplo, el banco de inversión estadounidense Jefferies recientemente elevado su pronóstico de capitalización de mercado para el sector NFT a más de $ 35 mil millones para 2022 y más de $ 80 mil millones para 2025, una proyección de la que también se hizo eco JP Morgan.

Sin embargo, como ocurre con cualquier mercado que crece a un ritmo tan exponencial, también se deben esperar problemas relacionados con la seguridad. En este sentido, el destacado mercado de tokens no fungibles (NFT) OpenSea fue víctima recientemente de un ataque de phishing que tuvo lugar pocas horas después de que la plataforma anunciara su actualización planificada de una semana para eliminar todos los NFT inactivos.

Buceando en el asunto

El 18 de febrero, OpenSea reveló que iba a iniciar una actualización de contrato inteligente, lo que requeriría que todos sus usuarios transfirieran sus NFT enumerados desde la cadena de bloques de Ethereum a un nuevo contrato inteligente. Debido a la actualización, los usuarios que no facilitaron la migración mencionada anteriormente corrían el riesgo de perder sus listados antiguos e inactivos.

No products found.

Dicho esto, debido al pequeño plazo de migración proporcionado por OpenSea, a los piratas informáticos se les presentó una potente ventana de oportunidad. A las pocas horas del anuncio, se reveló que terceros infames habían iniciado una sofisticada campaña de phishing, robando NFT de muchos usuarios que estaban almacenados en la plataforma antes de que pudieran migrarse al nuevo contrato inteligente.

Al proporcionar un desglose técnico del asunto, Neeraj Murarka, director técnico y cofundador de Bluezelle, una cadena de bloques para el ecosistema GameFi, le dijo a Milfinanzas que en el momento del incidente, OpenSea estaba utilizando un protocolo llamado Wyvern, un módulo tecnológico estándar que la mayoría de las aplicaciones web de NFT utilizan, ya que permite la administración, el almacenamiento y la transferencia de estos tokens dentro de las billeteras de los usuarios.

Debido a que el contrato inteligente con Wyvern permitía a los usuarios trabajar con los NFT almacenados en sus «carteras», el pirata informático pudo enviar correos electrónicos a los clientes de Opensea haciéndose pasar por representantes de la plataforma, alentándolos a firmar transacciones «ciegas». Murarka añadió además:

“Metafóricamente, esto fue como firmar un cheque en blanco. Normalmente, esto está bien si el beneficiario es el destinatario previsto. Tenga en cuenta que cualquier persona puede enviar un correo electrónico, pero puede parecer que lo envió otra persona. En este caso, el beneficiario parece ser un solo pirata informático que pudo usar estas transacciones firmadas para transferir y robar efectivamente los NFT de estos usuarios».

Además, en un interesante giro de los acontecimientos, después del incidente, el hacker aparentemente devuelto algunos de los NFT robados a sus legítimos propietarios, y se están haciendo más esfuerzos para devolver otros activos perdidos. Al brindar su opinión sobre todo el asunto, Alexander Klus, fundador de Creaton, una plataforma de creación de contenido Web3, le dijo a Milfinanzas que la campaña de correo electrónico de phishing usó una transacción de firma maliciosa para aprobar todas las existencias para poder drenarlas en cualquier momento. “Necesitamos mejores estándares de firma (EIP-712) para que las personas puedan ver realmente lo que están haciendo al aprobar una transacción”.

Por último, Lior Yaffe, cofundador y director de Jelurida, una empresa de software de cadena de bloques, señaló que el episodio fue el resultado directo de la confusión en torno a la actualización de contratos inteligentes mal planificada de OpenSea, así como la arquitectura de aprobación de transacciones de la plataforma.

Los mercados de NFT necesitan intensificar su juego de seguridad

Desde el punto de vista de Murarka, las aplicaciones web que utilizan el sistema de contrato inteligente Wyvern deben mejorarse con mejoras de usabilidad para garantizar que los usuarios no caigan en tales ataques de phishing una y otra vez, y agrega:

“Se deben hacer advertencias muy claras para educar al usuario sobre los ataques de phishing y aclarar el hecho de que nunca se enviarán correos electrónicos, solicitando al usuario que tome alguna medida. Las aplicaciones web como OpenSea deberían adoptar un protocolo estricto para nunca comunicarse con los usuarios por correo electrónico, aparte de tal vez solo los datos de registro”.

Dicho esto, admitió que incluso si OpenSea adoptara los protocolos y estándares de seguridad/privacidad más seguros, aún depende de sus usuarios educarse sobre estos riesgos. “Desafortunadamente, la aplicación web en sí misma a menudo es responsable, a pesar de que fue el usuario el que sufrió el phishing. ¿Quién es responsable? La respuesta no está clara”, señaló.

Jessie Chan, jefe de personal de ParallelChain Lab, un ecosistema de cadena de bloques descentralizado, comparte un sentimiento similar, quien le dijo a Milfinanzas que, independientemente de cómo se orquestó todo el ataque, el problema no depende completamente de los protocolos de seguridad existentes de OpenSea, sino también de la conciencia del usuario contra suplantación de identidad. Queda la pregunta de si el operador del mercado debería haber sido capaz de proporcionar suficiente información a sus usuarios para mantenerlos informados sobre cómo lidiar con tales escenarios.

Otra posibilidad para mitigar cualquier posible evento de phishing es hacer que todas las interacciones entre los usuarios y sus aplicaciones web se realicen únicamente mediante el uso de una interfaz móvil/de escritorio dedicada. “Si todas las interacciones requirieran el uso de una aplicación de escritorio, tales ataques podrían evitarse por completo”.

Al brindar su opinión sobre el tema, Yaffe señaló que el problema principal, que se encuentra en el centro de todo este problema, es la arquitectura básica de la mayoría de los mercados de NFT, que permite a los usuarios simplemente firmar una aprobación de carta blanca para el uso de un contrato de terceros. su billetera privada sin establecer un límite de gasto:

“Dado que el equipo de OpenSea realmente no descubrió la fuente de la operación de phishing, bien podría volver a suceder la próxima vez que intenten hacer un cambio en su arquitectura”.

¿Qué se puede hacer?

Murarka señaló que la mejor manera de eliminar la posibilidad de estos ataques es si las personas comienzan a utilizar billeteras de hardware. Esto se debe a que la mayoría de las billeteras de software, así como otras soluciones de almacenamiento de custodia, son demasiado vulnerables en su diseño general y perspectiva operativa. Explicó además: «Al igual que Bitcoin, Ethereum, etc., los NFT en sí mismos deben trasladarse a cuentas de billetera de hardware en lugar de dejarlos en una plataforma centralizada», y agregó:

“Los usuarios deben ser muy conscientes de los riesgos de responder y actuar sobre los correos electrónicos que reciben. Los correos electrónicos se pueden falsificar muy fácilmente y los usuarios deben ser proactivos con respecto a la seguridad de sus criptoactivos».

Otra cosa que los propietarios de NFT deben recordar es que solo deben visitar aplicaciones web que empleen protocolos de seguridad de alta calidad, verificando que los mercados a los que se accede utilicen el mecanismo HTTPS (como mínimo) mientras pueden ver claramente un símbolo de candado en el arriba a la izquierda de la ventana de su navegador, que apunta correctamente a la empresa deseada, mientras visita cualquier página web.

Yaffe cree que los usuarios deben tener cuidado con las aprobaciones de contratos y mantener un registro preciso de los contratos que han aprobado en el pasado. “Los usuarios deben revocar las aprobaciones innecesarias o inseguras. Si es posible, los usuarios deberían especificar un límite de gasto razonable para cada aprobación de contrato”, concluye.

Relacionado: Milfinanzas se asocia con Nitro Network para llevar la minería digital y el Internet descentralizado a las masas

Por último, Chan cree que, en un escenario ideal, los usuarios deberían mantener sus billeteras en una plataforma dedicada que no usen para leer correos electrónicos o navegar por la web, y agregó que tales vías están sujetas a todo tipo de ataques de terceros. Dijo además:

“Esto es inconveniente, pero cuando se trata de bienes de gran valor y donde no hay recurso en caso de robo, se justifica extremar el cuidado. Y, como en todas las transacciones financieras, deben tener mucho cuidado al decidir con quién tratar, ya que las contrapartes también pueden robar sus activos y desaparecer”.

Por lo tanto, mientras avanza hacia un futuro impulsado por NFT y otras ofertas digitales novedosas similares, queda por ver cómo las plataformas que operan dentro de este espacio continúan evolucionando y madurando, especialmente a medida que una cantidad creciente de capital sigue ingresando al mercado de NFT.



milfinanzas

Soy ingeniero Naval especializada . dependiente de la Universidad Veracruzana, es un programa académico dedicado al desarrollo científico y tecnológico de las ciencias de la Ingeniería Naval y sus aplicaciones en el desarrollo socioeconómico del País. Tengo las habilidades y conocimientos matemáticos, y físicos a nivel superior para el diseño, construcción, reparación y mantenimiento de todo artefacto flotante. Soy trader de tiempo medio. Devoro libros, que abarcan desde el lado más científico al más humilde y humanista  que entiende que las personas "son personas".
Botón volver arriba
AllEscort