Los piratas informáticos comprometen OpenSea Discord nuevamente, empujan NFT de estafa

Hoy temprano, un pirata informático obtuvo acceso al servidor de discordia de OpenSea del mercado NFT, explotando su canal para una estafa de phishing. Esta es la segunda vez que la plataforma es víctima de este tipo de ataque este año.

Hacker promueve colaboración falsa entre Youtube y OpenSea

Según informes y capturas de pantalla de los participantes en el servidor, el atacante se apoderó de uno de los bots de OpenSea. Luego subieron una serie de publicaciones compartiendo noticias de una colaboración entre YouTube y el mercado de NFT. Una cita de la primera publicación decía:

“YouTube se asocia oficialmente con [OpenSea] para llevar a su comunidad al espacio NFT”.

Esto subió en el canal de anuncios alrededor de las cuatro de esta mañana y reveló más detalles de la supuesta colaboración. Uniendo fuerzas, OpenSea y YouTube lanzarían 100 tokens denominados «YouTube Genesis Mint Passes». Los NFT otorgarían a sus propietarios acceso a tokens colaborativos no fungibles gratuitos y otras «utilidades locas».

El atacante aprovechó el FOMO generalizado de la industria NFT, alentando a los miembros a obtener un pase antes de desaparecer. Más tarde, volvieron a publicar, alegando que la mayoría de los pases se habían ido. El hacker incluyó el enlace en la parte inferior de los mensajes; youtube[.]Arte.

Según la empresa de seguridad PeckShield, el enlace conducía al sitio fraudulento, que ahora no está disponible. El sitio permitió al pirata informático obtener acceso ilícito a las billeteras de los usuarios y robarles sus NFT. OpenSea no pudo cortar el acceso del pirata informático durante un tiempo, ya que pudieron cargar más mensajes.

Dirección del atacante confirmada

Tras la recuperación, el equipo de soporte del servidor envió declaraciones a los distintos canales. Los participantes en el canal de informes de estafas compartieron capturas de pantalla del ataque de phishing, ya que OpenSea ya eliminó las publicaciones. OpenSea también envió un mensaje a los participantes de Discord a través de su página oficial de Twitter confirmando la noticia del hackeo.

Actualmente estamos investigando una posible vulnerabilidad en nuestro Discord, no haga clic en ningún enlace en Discord.

— Soporte de OpenSea (@opensea_support) 6 de mayo de 2022

El equipo advirtió contra hacer clic en los enlaces del servidor y aseguró a los usuarios actualizaciones sobre su investigación en curso. Los informes que circulan afirman que el pirata informático aprovechó una apertura en los webhooks del servidor. Este es un complemento de servidor que permite la interacción con otras aplicaciones.

En los últimos tiempos, se han convertido en una opción popular de destino para los piratas informáticos. Esto se debe a que permiten que las cuentas oficiales del servidor transmitan datos a los miembros.

Aunque inicialmente no surgieron víctimas, Etherscan ha reveló seis carteras afectadas hasta el momento. Una de las víctimas del exploit pudo señalar la billetera del hacker. dirección. Los datos de EtherScan relacionados con esa dirección muestran que recibió alrededor de 13 tokens no fungibles en el momento del hackeo.

Los últimos meses han progresado, con el espacio NFT experimentando una epidemia de hacks y estafas. Hace unas semanas, el principal proyecto de NFT, BAYC, vio a un mal actor compromiso su servidor de discordia. El atacante robó un token del proyecto Mutant Ape Yacht Club a través de un enlace de phishing.

MANTENERSE A SALVO. No acumules nada de ningún Discord en este momento. Un webhook en nuestro Discord se vio comprometido brevemente. Lo detectamos de inmediato, pero tenga en cuenta: no estamos haciendo ninguna menta / lanzamiento aéreo sigiloso de April Fools, etc. Otros Discords también están siendo atacados en este momento.

— Club de yates de monos aburridos (@BoredApeYC) 1 de abril de 2022

A fines del mes pasado, la página de Instagram de BAYC fue víctima de un ataque similar al de OpenSea. Los miembros de la comunidad vieron pérdidas por un total de $ 2.8 millones después de que apareció una menta NFT falsa en la cuenta.