Por Sander Lutz
5 min lectura
El domingo, unos hackers se infiltraron en la popular plataforma de registro de NFTs Premint y robaron 320 NFTs y más de 400.000 dólares de beneficios en uno de los mayores hackeos de este tipo en el año.
Según el análisis de la empresa de seguridad blockchain CertiK, los hackers comprometieron el sitio web de Premint el domingo con un código JavaScript malicioso. A continuación, crearon una ventana emergente dentro del sitio que pedía a los usuarios que verificaran la propiedad de su cartera, aparentemente como una medida de seguridad adicional.
Varios usuarios se dieron cuenta rápidamente de que la ventana emergente era ilegítima e inmediatamente acudieron a Twitter y Discord para advertir a los demás de que no siguieran sus instrucciones. Aun así, en cuestión de minutos, los hackers ya habían engañado a varios clientes de Premint.
Los NFT robados incluían los de las populares colecciones Bored Ape Yacht Club, Otherside, Moonbirds Oddities y Goblintown. Después de conseguir estos NFT, los hackers comenzaron a venderlos inmediatamente en mercados como OpenSea; uno de los Bored Ape robados alcanzó un precio de 89 ETH, es decir, unos 132.000 dólares.
En el transcurso del domingo, los hackers recaudaron 275 ETH, o algo más de 400.000 dólares, en las ventas de los 320 NFT robados. DE acuerdo con información de Certik, los hackers se han quedad con unos 18 NFTs que no han sido vendidos.
A continuación, los hackers enviaron los fondos a Tornado Cash, un servicio que agrupa los depósitos de criptomonedas de muchos usuarios y los mezcla, eliminando de forma efectiva el rastro digital que suelen dejar las transacciones de blockchain. Los servicios de mezcla como Tornado Cash son utilizados con frecuencia por los ciberdelincuentes para "limpiar" las criptomonedas robadas.
Ayer, Premint se dirigió a Twitter para reconocer el hackeo y asegurar a los usuarios que la mayoría de las cuentas no se vieron afectadas por el ataque. "Gracias a la increíble comunidad de web3 que difunde advertencias, un número relativamente pequeño de usuarios cayó en esto", tuiteó la compañía.
Algunos usuarios de Premint señalaron, sin embargo, que el sitio hackeado permaneció activo durante aproximadamente 10 horas después de que los hackers se infiltraran en él a primera hora del domingo. Otros lamentaron la pérdida de sus activos digitales y preguntaron si Premint reembolsaría a estas cuentas el valor de los NFT robados.
Desde entonces, Premint ha comenzado a acumular datos sobre todos los NFT robados en el hackeo. La empresa se negó a responder a Decrypt de forma oficial.
Tal vez irónicamente, en los días previos al hackeo, la compañía había planeado anunciar una nueva característica de seguridad: la capacidad de iniciar sesión en Premint a través de Twitter o Discord, un método que permitiría a los usuarios acceder al sitio sin introducir los detalles de la cartera directamente. Cualquier cliente de Premint que utilizara ese método de inicio de sesión habría estado protegido del hackeo de ayer.
Sin embargo, la función aún no se había lanzado. Tras los sucesos del domingo, la dirección de Premint decidió lanzar la función unos días antes de lo previsto:
El hackeo es sólo la última estafa dirigida al mercado de NFT, que sólo el año pasado generó 25.000 millones de dólares en ventas. En febrero, una estafa de phishing en OpenSea robó más de 1,7 millones de dólares en NFT. En abril, un hackeo de la cuenta de instagram de Bored Ape Yacht Club provocó un robo de NFT por valor de 2,8 millones de dólares. El mes pasado, el actor Seth Green pagó casi 300.000 dólares para recuperar un NFT robado de Bored Ape que pensaba convertir en la pieza central de una próxima serie de televisión.
A pesar de la enorme cantidad de capital que fluye a través del espacio NFT, la seguridad de estos activos -especialmente cuando están conectados a empresas centralizadas como Premint- sigue siendo un problema persistente.
Como dijo un usuario de Premint, "la seguridad es lo más importante que no se toma en serio en el espacio de las criptomonedas".
Nota del editor: Este artículo se actualizó después de la publicación para aclarar que los hackers han retenido 18 NFT robados y han vendido 302 hasta ahora, según Certik.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.