Kevin Rose, cofundador de la colección de tokens no fungibles (NFT) Moonbirds, ha sido víctima de una estafa de phishing que le ha hecho perder más de 1,1 millones de dólares en NFT personales.
El creador de NFT y cofundador de PROOF compartió la noticia con sus 1,6 millones de seguidores de Twitter el 25 de enero, pidiéndoles que evitaran comprar cualquier NFT de Squiggles hasta que su equipo consiguiera marcarlos como robados.
Me acaban de hackear, permaneced atentos a los detalles – por favor, evitad comprar garabatos hasta que consigamos marcarlos (acabo de perder 25) + algunos otros NFT (un autoglifo) …
– KΞVIN R◎SE (,) (@kevinrose) 25 de enero de 2023
“Gracias por todas las amables palabras de apoyo. El informe completo viene,” él entonces compartió en otro tuit unas dos horas después.
Se entiende que los NFT de Rose fueron drenados después de que él aprobara una firma maliciosa que transfirió una proporción significativa de sus activos NFT al explotador.
GM – ¡Qué día!
Hoy he sufrido un phishing. Mañana vamos a cubrir todos los detalles en vivo, como una cola de precaución, en twitter espacios. Así es como fue, técnicamente: https://t.co/DgBKF8qVBK– KΞVIN R◎SE (,) (@kevinrose) 25 de enero de 2023
Un independiente análisis de Arkham descubrió que el explotador extrajo al menos un Autoglyph, que tiene un precio mínimo de 345 ETH; 25 Art Blocks -también conocidos como Chromie Squiggles- por valor de al menos un total de 332,5 ETH; y nueve artículos OnChainMonkey, por valor de al menos 7,2 Ether.
En total, se extrajeron al menos 684,7 ETH (1,1 millones de dólares).
Cómo explotaron a Kevin Rose
Aunque se han compartido varios análisis independientes en la cadena, Arran Schlosberg, vicepresidente de PROOF -la empresa que está detrás de Moonbirds- explicó a sus 9.500 seguidores de Twitter que Rose “fue engañado para que firmara una firma maliciosa” que permitió al explotador transferir un gran número de tokens:
1/ Se trataba de un clásico de la ingeniería social, que engañó a KRO con una falsa sensación de seguridad. El aspecto técnico del ataque se limitó a la creación de firmas aceptadas por el contrato de mercado de OpenSea.
– Arran (@divergencearran) 25 de enero de 2023
El criptoanalista “foobar” profundizó en el “aspecto técnico del hackeo” en otro post el 25 de enero, explicando que Rose aprobó un contrato de mercado de OpenSea para mover todos sus NFT cada vez que Rose firmaba transacciones.
Añadió que Rose siempre estaba a “una firma maliciosa” de un exploit:
tenga mucho cuidado al firmar cualquier cosa, incluso las firmas offchain. kevin rose acaba de tener ~ $ 2 millones de dólares en NFTs drenado de su bóveda de la firma de un paquete malicioso puerto marítimo. afortunadamente un par de cosas se contuvo, como el zombi punk (1000 ETH) que no puede ser objeto de comercio en OS pic.twitter.com/GXHR3NQHLf
– foobar (@0xfoobar) 25 de enero de 2023
El criptoanalista dijo que Rose debería haber estado “silenciando” sus activos NFT en una billetera separada:
“Mover los activos de su bóveda a una billetera de “venta” separada antes de publicar en los mercados de NFT evitará esto”.
Otro analista de la cadena, “Quit”, dijo a sus 71.400 seguidores de Twitter que la firma maliciosa fue habilitada por el contrato de mercado Seaport, la plataforma que impulsa OpenSea:
Kevin Rose acaba de perder más de 2 millones de dólares en activos al firmar una firma fuera de la cadena que creaba un listado de todos sus activos aprobados por OpenSea de una sola vez.
Aunque seaport es una herramienta poderosa, también puede ser peligrosa si no eres consciente de cómo funciona.
Un poco de contexto 1/
– abandonar (@0xQuit) 25 de enero de 2023
Quit explicó que los explotadores fueron capaces de configurar un sitio de phishing que era capaz de ver los activos NFT guardados en la cartera de Rose.
A continuación, el explotador creó una orden para transferirse a sí mismo todos los activos de Rose aprobados en OpenSea.
A continuación, Rose validó la transacción maliciosa y anotó Quit.
Relacionado: Moonbirds, el gran proyecto de NFT, firma con la agencia de talentos de Hollywood UTA
Mientras tanto, foobar señaló que la mayoría de los activos robados estaban muy por encima del precio mínimo, lo que significa que la cantidad robada podría ascender a 2 millones de dólares.
Quit instó a los usuarios de OpenSea a “huir” de cualquier otro sitio web que pida a los usuarios firmar algo que parezca sospechoso.
NFT en movimiento
El analista de On-chain ZachXBT compartió un mapa de transacciones a sus 350.300 seguidores de Twitter que muestra que el explotador envió los activos a FixedFloat – un intercambio de criptodivisas en la capa 2 Lightning Network de Bitcoin.
A continuación, el explotador cambió los fondos a Bitcoin (BTC) y depositó el BTC en un mezclador de Bitcoin:
Hace tres horas, Kevin sufrió un phishing por valor de más de 1,4 millones de dólares en NFT. Hoy mismo, el mismo estafador robó 75 ETH a otra víctima.
Haciendo un mapa de todo esto podemos ver una clara tendencia a enviar los fondos robados a FixedFloat y cambiarlos por BTC antes de depositarlos en un mezclador de bitcoins. https://t.co/2yrFpfYttT pic.twitter.com/ZlywPYydwx
– ZachXBT (@zachxbt) 25 de enero de 2023
El miembro de Crypto Twitter Degentraland dijo a sus 67.000 seguidores de Twitter que era la “cosa más triste” que han visto en el espacio cryptocurrency hasta la fecha, añadiendo que si alguien puede volver de una hazaña tan devastadora, “es él”:
Lo más triste que he visto en criptomoneda hasta la fecha.@kevinrose cartera vaciada.
Si alguien puede volver de esto, es él. pic.twitter.com/HZysg34qji
– Degentraland (@Degentraland) 25 de enero de 2023
Mientras tanto, el fundador de Bankless, Ryan Sean Adams, se enfureció por la facilidad con la que Rose pudo ser explotada. En un comunicado del 25 de enero tweet, Adams instó a los ingenieros de front-end a ponerse las pilas y mejorar la experiencia de usuario (UX) para evitar que se produzcan estas estafas.
Source: COIN TELEGRAPH