CPR decidió investigar a OpenSea tras observar informes de robo de criptocarteras online.
CPR ha demostrado que era posible sustraer las criptocarteras de los usuarios aprovechando las vulnerabilidades de seguridad críticas encontradas en la plataforma de OpenSea.
Durante las últimas semanas, los investigadores de Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies Ltd. han detectado varios casos de usuarios tuiteados sobre la pérdida del saldo de su cartera de criptomonedas tras recibir un mensaje con un enlace ofreciendo un regalo del marketplace OpenSea.
OpenSea es el mayor mercado actual peer-to-peer para cripto coleccionables y tokens no fungibles, también conocidos como NFT. OpenSea llegó a registrar 3.400 millones de dólares en volumen de transacciones solo en agosto de 2021, y ha crecido hasta convertirse en el mayor mercado de tokens no fungibles del mundo.
El hecho de que las criptomonedas no estén reguladas en muchos países del mundo deja a estos monederos de los consumidores como un objetivo atractivo para los ciberdelincuentes. De hecho, últimamente, han surgido varios informes que afirman que algunas carteras digitales de diferentes compradores han desaparecido, lo que ha hecho que los coleccionistas pierdan cientos de miles de dólares en NFT. Los informes especulaban con que el ataque podía comenzar tras recibir un mensaje con un regalo gratuito de un desconocido, o un enlace a OpenSea:
En los informes se teorizaba, además, con que al aceptar dicho regalo o pulsar el enlace a OpenSea, el receptor perdía todas sus criptomonedas. Este ejemplo, junto con otros que informaron de diferentes estafas dentro de este mercado, ha motivado a los investigadores a buscar y encontrar vulnerabilidades dentro de la plataforma, que podrían haber permitido a los ciberdelincuentes a secuestrar las cuentas y robar las criptomonedas de las carteras digitales.
Desde Check Point Research fueron capaces de identificar fallos de seguridad críticos en OpenSea, demostrando que una NFT maliciosa podría utilizarse para secuestrar cuentas y robar estos monederos. La explotación exitosa de las vulnerabilidades habría requerido los siguientes pasos:
• El atacante crea y regala una NFT maliciosa a la víctima.
• La víctima ve la NFT maliciosa, lo que desencadena una ventana emergente del dominio de almacenamiento de OpenSea, solicitando la conexión a la cartera de criptomonedas (este tipo de ventanas emergentes son comunes en la plataforma en otras actividades).
• Tras hacer clic para conectar su billetera, con el fin de realizar una acción en la NFT regalada, permitiendo así el acceso al monedero.
• El ciberdelincuente puede obtener el dinero de la cartera activando una ventana emergente adicional, que también se envía desde el dominio de almacenamiento de OpenSea. El usuario está obligado a pinchar en la ventana emergente, si no se da cuenta de la nota en la misma que describe la transacción.
• El resultado final podría ser el robo de toda la cartera de criptomonedas del usuario.
«Nuestro interés en OpenSea surgió cuando vimos que se hablaba de carteras de criptomonedas robadas en Internet. Especulamos sobre la existencia de un método de ataque en torno a OpenSea, así que iniciamos una investigación exhaustiva de la plataforma. El resultado fue el descubrimiento de un método para robar las criptocarteras de los usuarios, simplemente enviando una NFT maliciosa a través de la misma. Inmediatamente y de forma responsable revelamos nuestros hallazgos a OpenSea, que rápidamente trabajó con nosotros para desplegar una solución. Creo que los datos de nuestra investigación, y la rápida actuación de OpenSea, evitarán los robos de carteras de criptomonedas de los usuarios”, explica Oded Vanunu, jefe de Investigación de Vulnerabilidades de Productos en Check Point Software.
“La innovación de la cadena de suministro (blockchain) está en pleno desarrollo y las NFT están aquí para quedarse. Dado el enorme ritmo de la innovación, existe un desafío inherente a la integración segura de las aplicaciones de software y los mercados de criptomonedas. La comunidad de ciberseguridad debe dar un paso adelante para ayudar a las tecnologías pioneras de blockchain a proteger los criptoactivos de los consumidores. Advertimos seriamente a la comunidad de OpenSea que esté atenta a las actividades sospechosas que puedan conducir al robo”, concluye Vanunu.
Check Point Research comunicó a OpenSea de forma inmediata y responsable sus hallazgos detectados el pasado 26 de septiembre. En menos de una hora después de la notificación, OpenSea solucionó el problema y verificó la solución. CPR trabajó estrechamente y en colaboración con su equipo para garantizar que la solución funcionara correctamente. OpenSea se mostró muy receptivo y compartió los archivos svg que contenían objetos iframe de su dominio de almacenamiento, para que CPR pudiera revisarlos juntos y asegurarse de que todos los vectores de ataque estuvieran cerrados.
Declaración de OpenSea:
«La seguridad es fundamental para OpenSea. Apreciamos que el equipo de CPR nos informara de esta vulnerabilidad y colaborara con nosotros mientras investigábamos el caso e implementábamos una solución una hora después de que se nos informara. Estos ataques se basaban en que los usuarios autorizaran la actividad maliciosa a través de un proveedor de monederos de terceros, conectando su cartera aportando una firma para la transacción maliciosa. No hemos podido identificar ningún caso en el que se haya explotado esta vulnerabilidad, pero estamos actuando directamente con los monederos de terceros que se integran en nuestra plataforma para ayudar a los usuarios a identificar mejor las solicitudes de firma maliciosas, así como otras iniciativas para que los usuarios puedan frustrar las estafas y los ataques de phishing con mayor eficacia. También estamos redoblando la educación de la comunidad en torno a las mejores prácticas de seguridad y hemos puesto en marcha una serie de posts en el blog sobre cómo mantenerse a salvo en la web. Animamos tanto a los nuevos miembros como a los veteranos a leer esta serie. Nuestro objetivo es capacitar a la comunidad para detectar, mitigar y denunciar ataques en el ecosistema blockchain, como el demostrado por CPR”.
Cómo protegerse frente a estos ciberataques
Los investigadores de Check Point Research recomiendan extremar las precauciones cuando se reciban solicitudes para firmar su cartera online. Antes de aprobar una solicitud, se debe revisar cuidadosamente lo que se solicita, y considerar si la solicitud es anormal o sospechosa. En caso de tener alguna duda, conviene rechazar la solicitud y examinarla más a fondo, antes de dar dicha autorización.