El escándalo del phishing de Opensea revela la necesidad de mejorar la seguridad en el panorama de los NFT
A pesar de la continua volatilidad que afecta al sector de los activos digitales, un nicho que sin duda ha seguido floreciendo es el mercado de tokens no fungibles (NFT, por sus siglas en inglés). Esto se hace evidente por el hecho de que un número creciente de empresas que se mueven entre el público general, como Coca-Cola, Adidas, la Bolsa de Valores de Nueva York (NYSE) y McDonalds, entre muchos otros, han hecho su camino en el floreciente ecosistema Metaverse en los últimos meses.
Además, debido a que solo en el transcurso de 2021 las ventas mundiales de NFT alcanzaron los 40,000 millones de dólares, muchos analistas esperan que esta tendencia continúe en el futuro. Por ejemplo, el banco de inversión estadounidense Jefferies elevó recientemente su previsión de capitalización de mercado para el sector de los NFT a más de 35,000 millones de dólares para 2022 y a más de 80,000 millones de dólares para 2025, una proyección de la que también se hizo eco JP Morgan.
Sin embargo, como ocurre con cualquier mercado que crece a un ritmo tan exponencial, también hay que esperar problemas relacionados con la seguridad. En este sentido, el prominente mercado de tokens no fungibles (NFT) OpenSea recientemente fue víctima de un ataque de phishing que tuvo lugar apenas unas horas después de que la plataforma anunciara su actualización planificada durante una semana para retirar de la lista todos los NFT inactivos.
Profundizando en el tema
El 18 de febrero, OpenSea reveló que iba a iniciar una actualización de contrato inteligente, exigiendo a todos sus usuarios que transfirieran sus NFT listados desde la blockchain de Ethereum a un nuevo contrato inteligente. Debido a la actualización, los usuarios que no facilitaran dicha migración corrían el riesgo de perder sus listados antiguos e inactivos.
Debido al pequeño plazo de migración proporcionado por OpenSea, a los hackers se les presentó una potente ventana de oportunidad. A las pocas horas del anuncio, se reveló que terceras personas nefastas han iniciado una sofisticada campaña de phishing, robando NFT de muchos usuarios que estaban almacenados en la plataforma antes de que pudieran ser migrados al nuevo contrato inteligente.
Estamos investigando activamente los rumores de un exploit asociado a los contratos inteligentes relacionados con OpenSea. Esto parece ser un ataque de phishing originado fuera del sitio web de OpenSea. No hagas clic en los enlaces externos de https://t.co/3qvMZjxmDB.
Proporcionando un desglose técnico del asunto, Neeraj Murarka, director técnico y cofundador de Bluezelle, un ecosistema blockchain para GameFi, dijo a Cointelegraph que al momento del incidente, OpenSea estaba haciendo uso de un protocolo llamado Wyvern, un módulo tecnológico estándar que la mayoría de las aplicaciones web de NFT utilizan ya que permite la gestión, el almacenamiento y la transferencia de estos tokens dentro de los monederos de los usuarios.
Como el contrato inteligente con Wyvern permitía a los usuarios trabajar con los NFT almacenados en sus «monederos», un hacker pudo enviar correos electrónicos a los clientes de Opensea haciéndose pasar por un representante de la plataforma, animándoles a firmar transacciones «a ciegas». Murarka añadió además:
«Metafóricamente, esto fue como firmar un cheque en blanco. Normalmente, esto está bien si el beneficiario es el destinatario. Hay que tener en cuenta que un correo electrónico puede ser enviado por cualquier persona, pero hacer que parezca enviado por otra. En este caso, el beneficiario parece ser un único hacker que pudo utilizar estas transacciones firmadas para transferir y robar efectivamente los NFT de estos usuarios».
Además, en un interesante giro de los acontecimientos, tras el incidente, el hacker aparentemente devolvió algunos de los NFT robados a sus legítimos propietarios, y se están haciendo más esfuerzos para devolver otros activos perdidos. Proporcionando su opinión sobre todo el asunto, Alexander Klus, fundador de Creaton, una plataforma de creación de contenido Web3, dijo a Cointelegraph que la campaña de correo electrónico de phishing utilizó una transacción de firma maliciosa para aprobar que todas las tenencias pudieran ser drenadas en cualquier momento. «Necesitamos mejores normas de firma (EIP-712) para que la gente pueda ver realmente lo que está haciendo al aprobar una transacción».
Por último, Lior Yaffe, cofundador y director de Jelurida, una empresa de software blockchain, señaló que el episodio fue un resultado directo de la confusión que rodea la actualización de contratos inteligentes mal planificada de OpenSea, así como la arquitectura de aprobación de transacciones de la plataforma.
Los mercados de NFT deben mejorar su seguridad
En opinión de Murarka, las aplicaciones web que hacen uso del sistema de contratos inteligentes Wyvern deberían ser reforzadas con mejoras de usabilidad para asegurar que los usuarios no caigan en este tipo de ataques de phishing una y otra vez, y añadió que:
«Deben hacerse advertencias muy claras para educar al usuario sobre los ataques de phishing y hacerles ver que nunca se enviarán correos electrónicos solicitando al usuario que haga algún trámite. Las aplicaciones web como OpenSea deberían adoptar un protocolo estricto para no comunicarse nunca con los usuarios a través del correo electrónico, aparte de los datos de registro».
Dicho esto, admitió que incluso si OpenSea adoptara los protocolos y estándares de seguridad/privacidad más seguros, sigue siendo responsabilidad de sus usuarios educarse sobre estos riesgos. «Desgraciadamente, a menudo se responsabiliza a la propia aplicación web, aunque haya sido el usuario quien haya sufrido el phishing. ¿Quién es el responsable? La respuesta no está clara», señala.
Una opinión similar comparte Jessie Chan, jefe de personal de ParallelChain Lab, un ecosistema blockchain descentralizado, quien dijo a Cointelegraph que, independientemente de cómo se orquestó todo el ataque, el problema no depende totalmente de los protocolos de seguridad existentes en OpenSea, sino también de la concienciación de los usuarios contra el phishing. La cuestión sigue siendo si el operador del mercado debería haber sido capaz de proporcionar suficiente información a sus usuarios para mantenerlos informados sobre cómo hacer frente a tales escenarios.
Otra posibilidad para mitigar cualquier evento potencial de phishing es que todas las interacciones entre los usuarios y sus aplicaciones web se realicen únicamente a través del uso de una interfaz móvil/de escritorio dedicada. «Si todas las interacciones requirieran el uso de una aplicación de escritorio, estos ataques podrían evitarse por completo».
Al ofrecer su opinión sobre el tema, Yaffe señaló que el principal problema —que se encuentra en el centro de toda esta cuestión— es la arquitectura básica de la mayoría de los mercados de NFT, que permite a los usuarios simplemente firmar una aprobación de carta blanca para que un contrato de terceros utilice su monedero privado sin establecer un límite de gasto:
«Dado que el equipo de OpenSea no descubrió realmente el origen de la operación de phishing, es posible que vuelva a ocurrir la próxima vez que intenten hacer un cambio en su arquitectura».
¿Qué se puede hacer?
Murarka señaló que la mejor manera de eliminar la posibilidad de estos ataques es que la gente empiece a utilizar carteras de hardware. Esto se debe a que la mayoría de los monederos de software, así como otras soluciones de almacenamiento en custodia, son demasiado vulnerables en su diseño general y perspectiva operativa. Además, explicó: «Al igual que ocurre con bitcoin, Ethereum, etc., los propios NFT deberían trasladarse a cuentas de monedero de hardware en lugar de dejarlos en una plataforma centralizada», y añadió que:
«Los usuarios deben ser muy conscientes de los riesgos de responder a los correos electrónicos que reciben y actuar en consecuencia. Los correos electrónicos pueden ser falsificados muy fácilmente, y los usuarios necesitan ser proactivos sobre la seguridad de sus criptoactivos».
Otra cosa que los propietarios de NFT deben recordar es que solo deben visitar aplicaciones web que empleen protocolos de seguridad de alta calidad, comprobando que los mercados a los que se accede utilizan el mecanismo HTTPS (como mínimo) y pudiendo ver claramente el símbolo de un candado en la parte superior izquierda de la ventana de su navegador —que apunta correctamente a la empresa a la que se dirige— mientras visitan cualquier página web.
Yaffe cree que los usuarios deben tener cuidado con las aprobaciones de contratos y llevar un seguimiento preciso de los contratos que han dado luz verde en el pasado. «Los usuarios deberían revocar las aprobaciones innecesarias o inseguras. Si es posible, los usuarios deberían especificar un límite de gasto razonable para cada aprobación de contrato«, concluye.
Por último, Chan cree que, en un escenario ideal, los usuarios deberían mantener sus carteras en una plataforma dedicada que no utilicen para leer el correo electrónico o navegar por la web, añadiendo que cualquiera de estas vías está sujeta a todo tipo de ataques de terceros. Además, afirmó:
«Esto es un inconveniente, pero cuando se trata de activos de gran valor y donde no hay recurso en caso de robo, está justificado extremar el cuidado. Y, como en todas las transacciones financieras, deben tener mucho cuidado a la hora de decidir con quién tratan, ya que las contrapartes también pueden robar sus activos y desaparecer».
Por lo tanto, mientras nos adentramos en un futuro impulsado por los NFT y otras ofertas digitales novedosas similares, queda por ver cómo siguen evolucionando y madurando las plataformas que operan en este espacio, especialmente a medida que una cantidad creciente de capital sigue abriéndose paso en el mercado de los NFT.
Fuente: Cointelegraph