Hackean la cuenta de NFT de Bored Ape Yacht Club: se llevaron más de tres millones de dólares

Hackean la cuenta de NFT de Bored Ape Yacht Club: se llevaron más de tres millones de dólares

Cortesía

 

Bored Ape Yacht Club, la colección más conocida de arte digital en NFT, fue hackeada el lunes. Yuga Labs, el colectivo multimillonario que emite los certificados de autenticidad sobre los monos más famosos de la web, reconoció el problema en su sistema interno. El botín es de más de 3 millones de dólares.

Por: Clarín





El atacante tomó el control de la cuenta de Instagram de BAYC y envió una publicación de phishing en la que se engañó a muchos seguidores para que hicieran clic, conectando sus billeteras criptográficas al “contrato inteligente” del pirata informático, un mecanismo para implementar una transacción criptográfica. Esto fue lo que engañó, a fin de cuentas, a los usuarios.

La mecánica permitió al atacante robar los activos contenidos en las billeteras, tomando el control de cuatro Bored Apes, así como una gran cantidad de otros NFT con un valor total estimado de 3 millones de dólares.

Los NFT son certificados de autenticidad de algo que existe en el mundo digital, no material. Sus siglas significan “token no fungible”. Un token es un activo digital que en este caso se integra a un blockchain (Ethereum y Solana) y que sea “no fungible” implica que no es intercambiable.

La fungibilidad significa que algo es intercambiable e indistinguible: un billete de mil pesos argentinos es intercambiable por cualquier otro billete de mil pesos argentinos. Los tokens, como las obras de arte, son no fungibles porque no hay forma de reemplazarlos: el primer tuit de la historia es uno solo, del mismo modo en que hay solo una Piedad original de Miguel Ángel.

El comunicado y otros casos

La página de Instagram de Bored Ape Yacht Club y Discord fueron pirateadas, y los culpables enviaron mensajes sobre una nueva acuñación de NFT y lo que se llama una “venta de terrenos” para robar los certificados.

Así, muchos clientes fueron engañados por los mensajes aparentemente oficiales e hicieron clic en un enlace que conectaba su billetera, que luego transfirió su contenido a los ciberdelincuentes.

“Esta mañana, la cuenta oficial de Instagram de BAYC fue pirateada. El hacker publicó un enlace fraudulento a una copia del sitio web de BAYC con un Airdrop falso, donde se pedía a los usuarios que firmaran una transacción ‘safeTransferFrom’. Esto transfirió sus activos a la billetera del estafador”, explicaron en Discord.

“Se habilitó la autenticación de dos factores y las prácticas de seguridad en torno a la cuenta de IG eran estrictas”, escribió Yuga Labs de Bored Ape Yacht Club en un comunicado a Motherboard.

“Yuga Labs e Instagram están investigando actualmente cómo el cibercriminal pudo obtener acceso a la cuenta. Todavía estamos investigando. Las pérdidas estimadas aproximadas debido a la estafa son 4 Bored Apes, 6 Mutant Apes y 3 BAKC, así como una variedad de otros NFT estimados en un valor total de 3 millones de dólares. Estamos trabajando activamente para establecer contacto con los usuarios afectados”, cerraron.

No es la primera vez que sucede un robo de estas características. A principios de abril, por ejemplo, un propietario seudónimo, “s27”, perdió una colección de simios valorada en 500.000 dólares después de que lo engañaran para que la cambiara por falsificaciones: el estafador creó nuevos NFT que eran visualmente idénticos a las imágenes de BAYC, excepto que tenían una marca verde. Lo hizo al imitar el ícono “verificado” de la plataforma utilizada para el intercambio.

En diciembre, otro poseedor de Ape, el marchante de arte de Nueva York Todd Kramer, reveló su propia pérdida de 2.2 millones de dólares con el tuit: “Me hackearon. Todos mis simios se han ido. Esto acaba de venderse por favor ayúdenme.” Kramer, que había sido víctima de una estafa de phishing similar, logró recuperar una parte de sus simios robados con la ayuda de la plataforma de comercio NFT OpenSea.

Por último, a principios de este mes, un equipo de piratería de Corea del Norte llamado Lazarus robó más de 500 millones de dólares en tokens criptográficos del videojuego Axie Infinity.