El lunes, el coleccionista de NFT, Larry Lawliet, fue víctima de un presunto ataque de ingeniería social que resultó en la pérdida de siete costosos monos aburridos y una colección de otros NFT.
El agresor pareció haber engañado a Lawliet para que firmara transacciones ficticias que les dieron acceso a sus NFT. Luego transfirieron los NFT a su billetera usando este acceso.
Lawliet publicó en Twitter que el intruso había robado 13 de sus NFT, incluidos siete Bored Apes, cinco Mutant Apes y un Doodle. Según el precio mínimo de los NFT robados de la billetera de Lawliet, su pérdida total es de 2,7 millones de dólares.
Cómo pasó
Los problemas de la víctima comenzaron cuando un atacante (presumiblemente el mismo individuo) obtuvo el control de otra colección de NFT llamada servidor Discord de Moschi Mochi e hizo un anuncio falso sobre una menta adicional. Como resultado, se invitó a los miembros de la comunidad Moschi Mochi a participar en una acuñación adicional de 1000 NFT para tener la oportunidad de ganar una rifa de $25 000.
Lawliet se comunicó con la menta falsa y envió 0,49 ETH a cambio de 14 de los NFT fraudulentos, según la dirección de su billetera en Etherscan. El historial de transacciones de Lawliet indica muchas transacciones de «aprobación establecida» justo después de la transferencia.
La dirección «0xD27» del pirata informático se estableció como una dirección aprobada en todas estas transacciones de aprobación establecidas. Al firmar estas transacciones con su billetera, la víctima fue engañada para que usara el método «setApprovalForAll».
El hecho de que cuando alguien confirma una transacción de blockchain utilizando un navegador integrado en la aplicación como MetaMask, no siempre es evidente qué permisos están otorgando al sitio web es crucial. En este caso, la víctima confundió las transacciones con transacciones rutinarias cuando entregaba el control de sus propios NFT.
Sin embargo, MetaMask tiene una función que permite a los usuarios ver la naturaleza exacta de sus transacciones antes de que se ejecuten. Esta etapa es seleccionando la pestaña de “detalles”, que proporciona información sobre la transacción, incluidos detalles críticos como las direcciones que han sido aprobadas. Desafortunadamente, es posible que los inversores no siempre verifiquen esto en medio de la prisa por una menta NFT.
La llamada de contrato setApprovalForAll permitió al hacker iniciar la llamada de contrato «transferFrom», lo que les permitió transferir todos los Bored Apes de la víctima a otra billetera. Una llamada es una construcción de programación que permite a un usuario ejecutar el código de otro contrato, en este caso, la capacidad de transferir NFT de la víctima al hacker.
Después de apoderarse de los NFT de la víctima, el atacante comenzó a moverlos a una segunda billetera. El pirata informático pudo robar los Bored Apes, así como otros NFT, como Mutant Apes y Doodles, de esta manera.
Posibles medidas preventivas
Los ataques de ingeniería social dirigidos a robar valiosos NFT continúan teniendo como objetivo a los propietarios de colecciones populares de NFT como BAYC. La colección tiene un precio mínimo de más de 118 ETH ($320 000) en el momento de escribir este artículo.
A raíz de sucesos como este, los expertos en seguridad recomiendan usar «carteras quemadas», o direcciones con solo una pequeña cantidad de dinero para cubrir los costos de gasolina. Como resultado, si la transacción es una estafa de phishing, las pérdidas de la víctima se reducirán considerablemente.
Verificar los datos de la transacción antes de aprobarla también podría ser una buena precaución. Las aprobaciones solo deben otorgarse a «contratos confiables» con un largo historial de transacciones, como lo expresó Tal Be’ery. Las billeteras web, como MetaMask, muestran datos de transacciones y pueden ser valiosas para detectar ataques de phishing.
