Redacción NM
Check Point Research (CRP) ha descubierto una falla crítica en las carteras criptográficas del mercado NFT OpenSea y advirtió a la compañía que corrija la vulnerabilidad antes de que los piratas informáticos comenzaran a explotar la falla. OpenSea es el mercado coleccionable digital más grande, un mercado peer-to-peer para cripto coleccionables y tokens no fungibles, comúnmente conocidos como NFT. Ha reconocido la violación según lo informado por la firma de ciberseguridad.
La compañía registró $ 3.4 mil millones en volumen de transacciones solo en agosto de 2021 y se ha convertido en el mercado más grande de tokens no fungibles del mundo de las criptomonedas.
Si las vulnerabilidades no se corrigieran, podría haber permitido a los piratas informáticos secuestrar cuentas de usuario y robar carteras de criptomonedas completas creando NFT maliciosos, dijo Check Point. Inmediatamente revelaron los hallazgos a OpenSea, que luego implementó una solución después de menos de una hora de divulgación.
“La seguridad es fundamental para OpenSea. Agradecemos que el equipo de CPR nos haya llamado la atención sobre esta vulnerabilidad y que colabore con nosotros mientras investigamos el asunto e implementamos una solución dentro de una hora de haberla informado. Estos ataques se habrían basado en que los usuarios aprobaran la actividad maliciosa a través de un proveedor de billetera externo conectando su billetera y proporcionando una firma para la transacción maliciosa ”, dijo la compañía en un comunicado de prensa.
¿Cómo puede un ciberdelincuente explotar tal vulnerabilidad?
Los piratas informáticos pueden crear y regalar un NFT malicioso para apuntar a las víctimas. Una vez que la víctima ve el NFT malicioso, que luego desencadenaría una ventana emergente desde el dominio de almacenamiento de OpenSea, solicitando conexión a la billetera de criptomonedas de la víctima (tales ventanas emergentes son comunes en la plataforma en varias otras actividades)
Y en caso de que la víctima hiciera clic en la ventana emergente para conectar su billetera, esto permitiría a los ciberdelincuentes tener acceso completo a su billetera. El resultado final podría ser el robo de todas las monedas, activos digitales almacenados en la billetera de criptomonedas completa de un usuario.
CPR recomienda tener cuidado al recibir solicitudes para firmar la billetera en línea. ”Antes de aprobar una solicitud, debe revisar cuidadosamente lo que se solicita y considerar si la solicitud es anormal o sospechosa. Si tiene alguna duda, debe rechazar la solicitud y examinar más a fondo, antes de otorgar la autorización ”, agregó la empresa.
