Fallos de seguridad del mercado NFT OpenSea, dejaban las criptocarteras de los usuarios expuestas a ataques

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Tras verse envuelto en una polémica sobre el uso de información privilegiada, el mercado de NFT OpenSea está recibiendo más mala prensa. El sitio tenía una vulnerabilidad de seguridad crítica que podría haber permitido a los ciberdelincuentes, robar las carteras de criptomonedas completas de los usuarios, según la empresa de investigación de seguridad Check Point Software.

Check Point dijo que primero observó informes de robo de carteras de criptomonedas provocado por NFTs lanzados desde el aire, lo que llevó a la empresa a investigar OpenSea. Eso reveló descubrimientos de seguridad críticos “que, si se explotan, podrían haber llevado a los hackers a secuestrar cuentas de usuario y robar carteras de criptomonedas enteras de los usuarios, mediante el envío de NFTs maliciosos”, dijo la compañía.

El ataque se basaba en la falta de atención de los usuarios y en el hecho de que OpenSea ya genera muchas ventanas emergentes. Si la víctima recibía y visualizaba un NFT malicioso enviado por un hacker, se activaba una ventana emergente del dominio de almacenamiento de OpenSea, solicitando una conexión con la cartera de criptomonedas de la víctima. Al hacer clic en la ventana emergente, el hacker tenía acceso a la cartera y podía generar otra ventana emergente. Si el usuario también hacía clic en ella sin advertir una nota que describía la transacción, el atacante podía, en teoría, robar todo su dinero.

Parecía que muchas cosas tenían que ir mal para que el ataque funcionara, y no está claro si fue explotado activamente. Check Point dijo que reveló la vulnerabilidad tan pronto como la encontró, y OpenSea dijo que implementó una solución “en una hora desde que se nos informó”. La compañía dijo que está “redoblando la educación de la comunidad en torno a la seguridad”, añadiendo una serie de blogs y tomando otras medidas.

La firma de investigación de seguridad dijo que, dado el rápido ritmo de la innovación, “hay un desafío inherente en la integración segura de las aplicaciones de software y los mercados de criptomonedas”. Los malos actores también se sienten atraídos por las criptomonedas como las avispas por el chocolate, así que es probable que oigamos hablar de ataques similares en un futuro próximo.

Con información de Europa Press.