Check Point evita el robo de billeteras de criptomonedas en OpenSea
urante las últimas semanas, los investigadores de Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies, han detectado varios casos de usuarios tuiteando sobre la pérdida del saldo de su cartera de criptomonedas tras recibir un mensaje con un enlace ofreciendo un regalo del marketplace OpenSea.
OpenSea es el mayor mercado actual peer-to-peer para cripto coleccionables y tokens no fungibles, también conocidos como NFT. OpenSea llegó a registrar 3.400 millones de dólares en volumen de transacciones solo en agosto de 2021, y ha crecido hasta convertirse en el mayor mercado de tokens no fungibles del mundo.
El hecho de que las criptomonedas no estén reguladas en muchos países del mundo deja a estos monederos de los consumidores como un objetivo atractivo para los ciberdelincuentes. De hecho, últimamente, han surgido varios informes que afirman que algunas billeteras digitales de diferentes compradores han desaparecido, lo que ha hecho que los coleccionistas pierdan cientos de miles de dólares en NFT.
Los informes especulaban con que el ataque podía comenzar tras recibir un mensaje con un regalo gratuito de un desconocido, o un enlace a OpenSea:
En los informes se teorizaba, además, con que al aceptar dicho regalo o pulsar el enlace a OpenSea, el receptor perdía todas sus criptomonedas. Este ejemplo, junto con otros que informaron de diferentes estafas dentro de este mercado, ha motivado a los investigadores a buscar y encontrar vulnerabilidades dentro de la plataforma, que podrían haber permitido a los ciberdelincuentes a secuestrar las cuentas y robar las criptomonedas de las billeteras digitales.
Desde Check Point Research fueron capaces de identificar fallos de seguridad críticos en OpenSea, demostrando que una NFT maliciosa podría utilizarse para secuestrar cuentas y robar estos monederos.
La explotación exitosa de las vulnerabilidades habría requerido los siguientes pasos:
• El atacante crea y regala una NFT maliciosa a la víctima.
• La víctima ve la NFT maliciosa, lo que desencadena una ventana emergente del dominio de almacenamiento de OpenSea, solicitando la conexión a la cartera de criptomonedas (este tipo de ventanas emergentes son comunes en la plataforma en otras actividades).
• Tras hacer clic para conectar su billetera, con el fin de realizar una acción en la NFT regalada, permitiendo así el acceso al monedero.
• El ciberdelincuente puede obtener el dinero de la cartera activando una ventana emergente adicional, que también se envía desde el dominio de almacenamiento de OpenSea. El usuario está obligado a pinchar en la ventana emergente, si no se da cuenta de la nota en la misma que describe la transacción.
• El resultado final podría ser el robo de toda la cartera de criptomonedas del usuario.
Oded Vanunu, jefe de Investigación de Vulnerabilidades de Productos en Check Point Software indicó: ‘Nuestro interés en OpenSea surgió cuando vimos que se hablaba de billeteras de criptomonedas robadas en Internet. Especulamos sobre la existencia de un método de ataque en torno a OpenSea, así que iniciamos una investigación exhaustiva de la plataforma’.
‘El resultado fue el descubrimiento de un método para robar las criptobilleteras de los usuarios, simplemente enviando una NFT maliciosa a través de la misma. Inmediatamente y de forma responsable revelamos nuestros hallazgos a OpenSea, que rápidamente trabajó con nosotros para desplegar una solución. Creo que los datos de nuestra investigación, y la rápida actuación de OpenSea, evitarán los robos de billeteras de criptomonedas de los usuarios’, explicó.
‘La innovación de la cadena de suministro (blockchain) está en pleno desarrollo y las NFT están aquí para quedarse. Dado el enorme ritmo de la innovación, existe un desafío inherente a la integración segura de las aplicaciones de software y los mercados de criptomonedas. La comunidad de ciberseguridad debe dar un paso adelante para ayudar a las tecnologías pioneras de blockchain a proteger los criptoactivos de los consumidores. Advertimos seriamente a la comunidad de OpenSea que esté atenta a las actividades sospechosas que puedan conducir al robo’, concluyó Vanunu.
Check Point Research ha comunicado de forma inmediata y responsable sus hallazgos a OpenSea el domingo 26 de septiembre de 2021. En menos de una hora después de la notificación, OpenSea solucionó el problema y verificó la solución.
CPR trabajó estrechamente y en colaboración con su equipo para garantizar que la solución funcionara correctamente. OpenSea se mostró muy receptivo y compartió los archivos svg que contenían objetos iframe de su dominio de almacenamiento, para que CPR pudiera revisarlos juntos y asegurarse de que todos los vectores de ataque estuvieran cerrados.