Kevin Rose, el cofundador de la colección de tokens no fungibles (NFT) Moonbirds, ha sido víctima de una estafa de phishing que provocó el robo de más de $ 1.1 millones de sus NFT personales.
El creador de NFT y cofundador de PROOF compartió la noticia con sus 1,6 millones de seguidores en Twitter el 25 de enero y les pidió que evitaran comprar Squiggles NFT hasta que su equipo lograra marcarlos como robados.
Me acaban de piratear, estén atentos a los detalles: evite comprar garabatos hasta que los marquemos (acabo de perder 25) + algunos otros NFT (un autoglifo)…
— KΞVIN R◎SE (,) (@kevinrose) 25 de enero de 2023
“Gracias por todas las amables palabras de apoyo. Se acerca el informe completo”, luego compartido en un tweet separado unas dos horas después.
Se entiende que los NFT de Rose se drenaron después de que aprobó una firma maliciosa que transfirió una proporción significativa de sus activos NFT al explotador.
GM – ¡Qué día!
Hoy fui phishing. Mañana cubriremos todos los detalles en vivo, como advertencia, en los espacios de Twitter. Así es como sucedió, técnicamente: https://t.co/DgBKF8qVBK— KΞVIN R◎SE (,) (@kevinrose) 25 de enero de 2023
Un independiente análisis de Arkham descubrió que el explotador extrajo al menos un Autoglyph, que tiene un precio mínimo de 345 ETH; 25 Art Blocks, también conocidos como Chromie Squiggles, con un valor total de al menos 332,5 ETH; y nueve elementos de OnChainMonkey, con un valor de al menos 7,2 Ether.
En total, se extrajeron al menos 684,7 ETH (1,1 millones de dólares).
Cómo Kevin Rose fue explotado
Si bien se han compartido varios análisis independientes en cadena, Arran Schlosberg, vicepresidente de PROOF, la compañía detrás de Moonbirds, explicó a sus 9,500 seguidores de Twitter que Rose “fue phishing para firmar una firma maliciosa” que permitió al explotador transferir a través de un gran cantidad de fichas:
1/ Esta fue una pieza clásica de ingeniería social, engañando a KRO con una falsa sensación de seguridad. El aspecto técnico del hack se limitó a la elaboración de firmas aceptadas por el contrato de mercado de OpenSea.
— Arran (@divergencearran) 25 de enero de 2023
El criptoanalista “foobar” profundizó en el “aspecto técnico del hackeo” en una publicación separada el 25 de enero, explicando que Rose aprobó un contrato de mercado OpenSea para mover todos sus NFT cada vez que Rose firmaba transacciones.
Agregó que Rose siempre estuvo a “una firma maliciosa” de distancia de un exploit:
tenga mucho cuidado al firmar cualquier cosa, incluso firmas fuera de la cadena. kevin rose acaba de drenar ~$2 millones en NFT de su bóveda por firmar un paquete de puerto marítimo malicioso. afortunadamente, un par de cosas se retuvieron, como el zombi punk (1000 ETH) que no se puede intercambiar en el sistema operativo pic.twitter.com/GXHR3NQHLf
– foobar (@0xfoobar) 25 de enero de 2023
El criptoanalista dijo que, en cambio, Rose debería haber estado “almacenando” sus activos NFT en una billetera separada:
“Mover activos de su bóveda a una billetera de ‘venta’ separada antes de cotizar en los mercados de NFT evitará esto”.
Otro analista en cadena, “Quit”, dijo a sus 71.400 seguidores de Twitter que la firma maliciosa fue habilitada por el contrato de mercado de Seaport, la plataforma que impulsa OpenSea:
Kevin Rose acaba de perder más de $ 2 millones en activos al firmar una firma fuera de la cadena que creó una lista para todos sus activos aprobados por OpenSea de una sola vez.
Si bien el puerto marítimo es una herramienta poderosa, también puede ser peligroso si no sabe cómo funciona.
Un poco de contexto 1/
– salir (@0xQuit) 25 de enero de 2023
Quit explicó que los explotadores pudieron configurar un sitio de phishing que pudo ver los activos de NFT en la billetera de Rose.
Luego, el explotador estableció una orden para transferirse a sí mismo todos los activos de Rose que están aprobados en OpenSea.
Rose luego validó la transacción maliciosa, señaló Quit.
Relacionado: El proyecto Bluechip NFT, Moonbirds, firma con agentes de talento de Hollywood UTA
Mientras tanto, foobar señaló que la mayoría de los activos robados estaban muy por encima del precio mínimo, lo que significa que la cantidad robada podría llegar a los 2 millones de dólares.
Quit instó a los usuarios de OpenSea a que “deban huir” de cualquier otro sitio web que solicite a los usuarios que firmen algo que parezca sospechoso.
NFT en movimiento
El analista en cadena ZachXBT compartió un mapa de transacciones con sus 350,300 seguidores de Twitter que muestra que el explotador envió los activos a FixedFloat, un intercambio de criptomonedas en Bitcoin Layer 2 Lightning Network.
Luego, el explotador intercambió los fondos en Bitcoin (BTC) y depositó el BTC en un mezclador de Bitcoin:
Hace tres horas, Kevin fue víctima de phishing por más de $1.4 millones en NFT. Hoy temprano, el mismo estafador robó 75 ETH de otra víctima.
Mapeando esto, podemos ver una tendencia clara de enviar los fondos robados a FixedFloat y cambiarlos por BTC antes de depositarlos en un mezclador de bitcoin. https://t.co/2yrFpfYttT pic.twitter.com/ZlywPYydwx
— ZachXBT (@zachxbt) 25 de enero de 2023
El miembro de Crypto Twitter, Degentraland, les dijo a sus 67,000 seguidores de Twitter que era la “cosa más triste” que habían visto en el espacio de las criptomonedas hasta la fecha, y agregó que si alguien puede recuperarse de una hazaña tan devastadora, “es él”:
Lo más triste que he visto en criptografía hasta la fecha.@kevinrose billetera vaciada.
Si alguien puede recuperarse de esto, es él. pic.twitter.com/HZysg34qji
— Degentraland (@Degentraland) 25 de enero de 2023
Mientras tanto, el fundador de Bankless, Ryan Sean Adams, se enfureció con la facilidad con la que se pudo explotar a Rose. En un 25 de enero Pío, Adams instó a los ingenieros de front-end a retomar su juego y mejorar la experiencia del usuario (UX) para evitar que se produzcan este tipo de estafas.