Altcoin

El escándalo de phishing en alta mar revela la necesidad de seguridad en todo el panorama de NFT

img-ads



A pesar de la continua volatilidad que afecta al sector de los activos digitales, un nicho que, sin duda, continúa prosperando es el mercado de tokens no fungibles (NFT). Esto se ilustra por el hecho de que un número creciente de creadores principales como Coca-Cola, Adidas, la Bolsa de Valores de Nueva York (NYSE) y McDonalds, entre muchos otros, se han abierto camino en el floreciente ecosistema de Metaverse en los últimos meses.

Dado que las ventas globales de NFT alcanzaron un máximo de $ 40 mil millones solo durante 2021, muchos analistas esperan que esta tendencia continúe en el futuro. Por ejemplo, el banco de inversión estadounidense Jefferies elevó recientemente su pronóstico de capitalización de mercado para el sector NFT a más de USD 35 000 millones para 2022 y más de USD 80 000 millones para 2025, un pronóstico que también ha sido confirmado por JP Morgan.

Sin embargo, como ocurre con cualquier mercado que crece tan exponencialmente, también se deben esperar problemas de seguridad. En este sentido, OpenSea, el conocido mercado de tokens no fungibles (NFT), recientemente fue víctima de un ataque de phishing, que tuvo lugar pocas horas después de que la plataforma anunciara su actualización planificada durante semanas para eliminar todos los NFT inactivos.

Sumérgete en el asunto

El 18 de febrero, OpenSea anunció que iniciaría una actualización de contrato inteligente, lo que requeriría que todos sus usuarios migraran sus NFT enumerados de la cadena de bloques de Ethereum a un nuevo contrato inteligente. Debido a la actualización, los usuarios que no permitieron la migración anterior corrían el riesgo de perder sus entradas antiguas e inactivas.

Sin embargo, debido al corto período de migración que ofrece OpenSea, los piratas informáticos tenían una gran oportunidad. A las pocas horas del anuncio, se reveló que terceros infames habían lanzado una sofisticada campaña de phishing, robando NFT de muchos usuarios que estaban almacenados en la plataforma antes de que pudieran migrarse al nuevo contrato inteligente.

Al brindar un desglose técnico del asunto, Neeraj Murarka, director técnico y cofundador de Bluezelle, una cadena de bloques para el ecosistema GameFi, le dijo a Cointelegraph que en el momento del incidente, OpenSea estaba usando un protocolo llamado Wyvern, un módulo tecnológico estándar. que la mayoría de las aplicaciones web de NFT las usan, ya que permiten la administración, el almacenamiento y la transferencia de estos tokens en las billeteras de los usuarios.

Debido a que el contrato inteligente con Wyvern permitía a los usuarios trabajar con los NFT almacenados en sus «carteras», el pirata informático podía enviar correos electrónicos a los clientes de Opensea haciéndose pasar por representantes de la plataforma, y ​​animaron a firmar transacciones «ciegas». Murarka añadió además:

“Metafóricamente, fue como firmar un cheque en blanco. Por lo general, esto está bien si el beneficiario es el destinatario previsto. Recuerde que cualquier persona puede enviar un correo electrónico, pero puede parecer que lo envió otra persona. En este caso, el beneficiario parece ser un pirata informático solitario que pudo usar esas transacciones firmadas para transferir y robar efectivamente los NFT de esos usuarios”.

También en un giro interesante de los acontecimientos, el hacker parece estar siguiendo el incidente. devuelto algunos de los NFT robados a sus legítimos propietarios, y se están haciendo más esfuerzos para devolver otros activos perdidos. Alexander Klus, fundador de Creaton, una plataforma de creación de contenido de Web3, expresó su opinión sobre todo el asunto y le dijo a Cointelegraph que la campaña de correo electrónico de phishing usó una transacción de firma maliciosa para autorizar que se puedan eliminar todas las existencias en cualquier momento. «Necesitamos mejores estándares de firma (EIP-712) para que las personas puedan ver realmente lo que están haciendo al aprobar una transacción».

Finalmente, Lior Yaffe, cofundador y director de Jelurida, una empresa de software de cadena de bloques, señaló que el episodio fue el resultado directo de la confusión en torno a la actualización mal planificada del contrato inteligente de OpenSea, así como la arquitectura de permisos de transacción de la plataforma.

Los mercados de NFT necesitan intensificar su juego de seguridad

Murarka cree que las aplicaciones web que aprovechan el sistema de contrato inteligente de Wyvern deben complementarse con mejoras de usabilidad para garantizar que los usuarios no caigan en este tipo de ataques de phishing una y otra vez, y agrega:

“Se deben dar advertencias muy claras para educar al usuario sobre los ataques de phishing y recalcar el hecho de que los correos electrónicos nunca se envían e instar al usuario a que tome alguna medida. Las aplicaciones web como OpenSea deberían adoptar un protocolo estricto para no comunicarse nunca con los usuarios por correo electrónico, aparte quizás solo de los datos de registro”.

Sin embargo, reconoció que incluso si OpenSea debería adoptar los protocolos y estándares de seguridad/privacidad más seguros, aún depende de sus usuarios educarse sobre esos riesgos. “Desafortunadamente, a menudo se culpa a la aplicación web en sí misma a pesar de que el usuario fue víctima de phishing. ¿Quién es responsable? La respuesta no está clara”, señaló.

Jessie Chan, jefe de personal de ParallelChain Lab, un ecosistema de cadena de bloques descentralizado, comparte un sentimiento similar, quien le dijo a Cointelegraph que, independientemente de cómo se orquestó todo el ataque, el problema no depende completamente de los protocolos de seguridad existentes de OpenSea, sino también de la conocimiento del phishing del usuario. Queda la pregunta de si el operador del mercado debería ser capaz de informar a sus usuarios lo suficiente para mantenerlos actualizados sobre cómo lidiar con tales escenarios.

Otra forma de mitigar posibles eventos de phishing es tener todas las interacciones entre los usuarios y sus aplicaciones web controladas únicamente mediante el uso de una interfaz móvil/de escritorio dedicada. «Si todas las interacciones requirieran el uso de una aplicación de escritorio, tales ataques podrían evadirse por completo».

Yaffe presentó su perspectiva sobre el asunto, y señaló que el problema principal, que está en el centro de todo este problema, es la arquitectura básica de la mayoría de los mercados de NFT, que permite a los usuarios simplemente obtener un permiso de carta blanca para usarlo para firmar un tercero. parte contrata su billetera privada sin establecer un límite de gasto:

«Dado que el equipo de OpenSea en realidad no ha descubierto la fuente de la operación de phishing, bien podría volver a suceder la próxima vez que intenten hacer un cambio en su arquitectura».

Qué se puede hacer

Murarka señaló que la mejor manera de descartar la posibilidad de estos ataques es que las personas comiencen a usar billeteras de hardware. Esto se debe a que la mayoría de las billeteras de software, así como otras soluciones de almacenamiento de custodia, son demasiado vulnerables en su diseño general y perspectivas operativas. Explicó además: «Al igual que Bitcoin, Ethereum, etc., los NFT en sí mismos deberían trasladarse a cuentas de billetera de hardware en lugar de mantenerlos en una plataforma centralizada», agregó:

“Los usuarios deben ser conscientes de los riesgos asociados con responder y responder a los correos electrónicos que reciben. Los correos electrónicos se pueden falsificar muy fácilmente y los usuarios deben ser proactivos para mantener seguros sus criptoactivos”.

Otra cosa que los propietarios de NFT deben tener en cuenta es que solo deben visitar aplicaciones web que usen protocolos de seguridad de calidad y verificar que los mercados visitados usen el mecanismo HTTPS (al menos) mientras muestran un icono de candado en la parte superior izquierda. de la ventana de su navegador, apuntando correctamente a la empresa deseada, al visitar cualquier sitio web.

Yaffe cree que los usuarios deben ser cautelosos con las aprobaciones de contratos y mantener un registro preciso de los contratos que han aprobado en el pasado. “Los usuarios deben revocar los permisos innecesarios o inseguros. Siempre que sea posible, los usuarios deben establecer un límite de gasto razonable con cada lanzamiento de contrato”, concluye.

Ver también: Cointelegraph se asocia con Nitro Network para llevar la minería digital y el Internet descentralizado a las masas

Finalmente, Chan cree que lo ideal es que los usuarios mantengan sus billeteras en una plataforma dedicada que no usen para leer correos electrónicos o navegar por la web, y agregó que esas formas son vulnerables a todo tipo de ataques de terceros. Explicó además:

“Es un inconveniente, pero cuando se trata de activos de alto valor y no hay recurso en caso de robo, se justifica una precaución extrema. Y como con todas las transacciones financieras, debe elegir con mucho cuidado con quién está tratando, ya que las contrapartes también pueden robar su riqueza y desaparecer”.

Entonces, a medida que avanzamos hacia un futuro impulsado por NFT y otras ofertas digitales novedosas similares, queda por ver cómo las plataformas que operan en este espacio continuarán evolucionando y madurando, especialmente a medida que ingresa más y más capital al mercado de NFT.