Usuarios del principal mercado de tokens no fungibles (NFT), OpenSea, han informado que están siendo objeto de un nuevo ataque de phishing por correo electrónico y han recibido correos electrónicos con enlaces maliciosos de atacantes haciéndose pasar por el mercado.
Según informes en redes sociales, usuarios y desarrolladores han sido blanco de varias campañas de phishing por correo electrónico, incluyendo una alerta falsa de riesgo de cuenta de desarrollador y una oferta falsa de NFT.
Un desarrollador de OpenSea informó en X (anteriormente Twitter) el 13 de noviembre que recibió un intento de phishing en un correo electrónico dedicado exclusivamente a su clave de API de plataforma .
«En otras palabras, los contactos de los desarrolladores han sido extraídos de OpenSea y son el verdadero objetivo de esta campaña», decía el mensaje.
Correct- there is no smart contract vuln. But unfortunately for @opensea I just received a phishing attempt, to an email that was strictly dedicated to my OpenSea API key. In other words, dev contacts have been exfiltrated from OpenSea and are the real target in this campaign https://t.co/GD4UgwWIrx pic.twitter.com/rtyUJBMlwl
— Quantity (@quantity) November 13, 2023
Correcto, no hay vulnerabilidad en el contrato inteligente. Pero desafortunadamente, acabo de recibir un intento de phishing, a un correo electrónico que estaba estrictamente dedicado a mi clave API de OpenSea. En otras palabras, los contactos de los desarrolladores han sido extraídos de OpenSea y son el verdadero objetivo de esta campaña.
Otro usuario recurrió a Reddit para expresar confusión sobre la continua campaña de phishing el 14 de noviembre.
«No he usado OpenSea durante años y de repente, sigo recibiendo correos electrónicos hablando sobre ofertas para mis listados de NFT», escribió el usuario, añadiendo que todos los enlaces vulnerables intentaban dirigir al lector a instalar una aplicación maliciosa.
«Ahora mismo estoy recibiendo 3-4 correos electrónicos de estafa/phishing al día, lo cual es una locura ya que no recibí ninguno hace apenas unas semanas», escribió el usuario de Reddit, añadiendo:
Entonces mi pregunta es, ¿algo nuevo le pasó a OpenSea? La dirección de correo electrónico mía a la que están atacando es una que creé específicamente para OpenSea, así que no estoy preocupado, pero sé que OpenSea tuvo hackeos previamente. ¿Simplemente están atacando mi correo electrónico ahora o hay algo nuevo?
La noticia llega unas semanas después de que uno de los proveedores externos de OpenSea sufriera un incidente de seguridad que expuso información relacionada con claves API de usuarios.
El marketplace informó de la brecha en un correo electrónico de notificación a los usuarios afectados a finales de septiembre de 2023, indicando que los correos electrónicos de los usuarios y las claves API de desarrolladores podrían haber sido filtrados debido al ataque.
Choose your third party well…
Opensea posted that a vendor was attacked, resulting in the leak of developers' API keys!
Get advice from a professional security consultant about the safety of the third party before choosing. E.g. @SlowMist_Team 😎 pic.twitter.com/jcBJ9IaAEN— 23pds (@IM_23pds) September 23, 2023
Elige bien a tu tercero…Opensea publicó que un proveedor fue atacado, lo que resultó en la filtración de las claves API de los desarrolladores.Consulta a un consultor de seguridad profesional sobre la seguridad del tercero antes de elegir
No es primera vez que usuarios de OpenSea reciben intentos de ‘phishing’
Los usuarios ya habían recibido correos electrónicos de phishing anteriormente. En febrero de 2022, OpenSea confirmó oficialmente que su plataforma enfrentó un ataque de phishing desde fuera del sitio web e instó a los usuarios a no hacer clic en ningún enlace de los correos electrónicos.
La firma también estaba investigando rumores de una vulnerabilidad asociada con los contratos inteligentes relacionados con OpenSea.
Esta última campaña de phishing ocurre justo después de que la compañía despidiera al 50% de su personal, con la intención declarada de lanzar OpenSea 2.0 con un equipo más pequeño.
Este ataque es otro recordatorio para la comunidad de criptomonedas de permanecer vigilante al recibir correos electrónicos de proveedores de servicios.
Para evitar un hackeo de phishing, los usuarios deben tener precaución sobre la autenticidad del remitente del correo electrónico y los enlaces asociados.
Los usuarios también deben recordar que las empresas de criptomonedas nunca solicitan a sus usuarios datos personales como direcciones de billetera o claves privadas.
En Binance puedes adquirir criptomonedas con monedas locales de Latino América y sin comisiones
Para comenzar a comprar, vender y comerciar con criptomonedas en Binance debes tener una cuenta activa y verificada. ¡Regístrate!
Descargo de Responsabilidad: Este comunicado de prensa es solo para fines informativos, la información brindada no debe ser considerada como consejo de inversión u oferta para invertir. Las opiniones expresadas en este artículo son propias de su autor y no representan necesariamente los puntos de vista de este sitio, por consiguiente no deben ser atribuidas a, CriptoEspacioWeb.