Por... Corin Faife
Una cuenta de administrador comprometida llevó a que dos proyectos fueran estafados en un día
El martes 21 de diciembre, dos proyectos de NFT fueron víctimas del mismo ataque. Como muchos proyectos en el mundo de las criptomonedas, la colección NFT Monkey Kingdom y el mercado de activos del juego Fractal se involucraron fuertemente con sus comunidades a través de los servidores de chat de Discord. Ambos proyectos estaban a punto de distribuir recompensas a los miembros de su comunidad: Monkey Kingdom a través de una preventa de NFT el día 21 y Fractal a través de un airdrop simbólico, esencialmente una distribución gratuita para los primeros partidarios, unos días después.
Entonces, ocurrió el desastre. Aparecieron publicaciones en el canal oficial de "anuncios" de cada proyecto, afirmando que una menta sorpresa recompensaría a los miembros de la comunidad con una NFT de edición limitada. Cientos aprovecharon la oportunidad, pero para aquellos que siguieron los enlaces y conectaron sus billeteras criptográficas, les esperaba una sorpresa costosa. En lugar de recibir una NFT, las billeteras se estaban agotando de la criptomoneda Solana, que ambos proyectos usaban para compras.
En el espacio de una hora, una publicación de Twitter, primero de Monkey Kingdom y luego de Fractal , informó a los seguidores que sus servidores de Discord habían sido pirateados; La noticia de las casas de moneda NFT era falsa, los vínculos un fraude de phishing. En el caso de Fractal, los estafadores se salieron con la suya con alrededor de $ 150,000 en criptomonedas . Para Monkey Kingdom, se informó que el total estimado era de $ 1.3 millones .
LAS MISMAS TÉCNICAS QUE EXALTAN UNA VENTA TAMBIÉN PUEDEN ABRIR LA PUERTA A LOS PIRATAS INFORMÁTICOS
Ninguno de los ataques tuvo como objetivo la cadena de bloques o los propios tokens. En cambio, los ladrones explotaron las debilidades en la infraestructura utilizada para vender los tokens, específicamente, las salas de chat de Discord donde se reúnen los fanáticos de NFT. Es un recordatorio de una debilidad persistente en la creciente economía de NFT, donde caídas sorpresivas han preparado a los compradores para moverse rápido o arriesgarse a perderse. Pero las mismas técnicas que exaltan una venta también pueden abrir la puerta a los piratas informáticos, y en este caso, un solo compromiso puede terminar extendiéndose a más de una comunidad a la vez.
En este caso, los ladrones de NFT se habían dirigido a una función conocida como webhook. Los webhooks son utilizados por muchas aplicaciones web (incluida Discord) para escuchar un mensaje enviado a una URL en particular y desencadenar un evento en respuesta, como publicar contenido en un determinado canal. Puede pensar en un webhook como un número de teléfono secreto, un identificador único que se puede "llamar" (o, en una aproximación más cercana, "enviar un mensaje de texto") para conectarse a una aplicación en el otro extremo.
Al obtener acceso a webhooks pertenecientes a los servidores Fractal y Monkey Kingdom Discord, los piratas informáticos pudieron enviar mensajes que se transmitieron a todos los miembros de ciertos canales: una función destinada a ser utilizada solo para comunicaciones oficiales de los equipos del proyecto. De ahí procedía el "anuncio" falso y por qué apuntaba a una dirección fraudulenta. En retrospectiva, el contenido debería haber levantado algunas banderas rojas, pero dado el método de distribución, parecía lo suficientemente legítimo como para engañar a muchos.
