El creador de Moonbirds, Kevin Rose, pierde más de USD 1.1 millones en NFT en un ataque de phishing

Kevin Rose, cofundador de la colección de tokens no fungibles (NFT) Moonbirds, ha sido víctima de una estafa de phishing que ha provocado el robo de NFT personales por valor de más de USD 1.1 millones.
El creador de NFT y cofundador de PROOF compartió la noticia con sus 1.6 millones de seguidores de Twitter el 25 de enero, pidiéndoles que evitaran comprar cualquier NFT de Squiggles hasta que su equipo consiguiera marcarlos como robados.

I was just hacked, stay tuned for details – please avoid buying any squiggles until we get them flagged (just lost 25) + a few other NFTs (an autoglyph) …
— KΞVIN R◎SE (,) (@kevinrose) January 25, 2023

Me acaban de hackear, permanezcan atentos a los detalles. Por favor, eviten comprar cualquier Squiggles hasta que consigamos marcarlos (acabo de perder 25) + algunos otros NFT (un autoglifo) …

“Gracias por todas las palabras amables y de apoyo. En breve el informe completo”, compartió en otro tuit unas dos horas después.
Se entiende que los NFT de Rose fueron drenados después de que él aprobara una firma maliciosa que transfirió una proporción significativa de sus activos NFT al explotador.

GM – what a day!Today I was phished. Tomorrow we’ll cover all the details live, as a cautionary tail, on twitter spaces. Here is how it went down, technically: https://t.co/DgBKF8qVBK
— KΞVIN R◎SE (,) (@kevinrose) January 25, 2023

GM, ¡vaya día! Hoy he sido víctima de phishing. Mañana vamos a cubrir todos los detalles en vivo, como una cola de precaución, en twitter espacios. Aquí es cómo se fue abajo, técnicamente: https://t.co/DgBKF8qVBK

Un análisis independiente de Arkham descubrió que el explotador robó al menos un Autoglyph, que tiene un precio mínimo de 345 ETH; 25 Art Blocks -también conocidos como Chromie Squiggles- por valor de al menos un total de 332.5 ETH; y nueve artículos OnChainMonkey, por un valor de al menos 7.2 Ether.
En total, se extrajeron al menos 684,7 ETH (USD 1.1 millones).
Cómo se aprovecharon de Kevin Rose
Aunque se han compartido varios análisis independientes on-chain, Arran Schlosberg, vicepresidente de PROOF -la empresa que está detrás de Moonbirds- explicó a sus 9,500 seguidores de Twitter que Rose “fue víctima de phishing para que firmara una firma maliciosa” que permitió al explotador transferir un gran número de tokens:

1/ This was a classic piece of social engineering, tricking KRO into a false sense of security. The technical aspect of the hack was limited to crafting signatures accepted by OpenSea’s marketplace contract.
— Arran (@divergencearran) January 25, 2023

1/ Se trataba de una clásica pieza de ingeniería social, que engañó a KRO con una falsa sensación de seguridad. El aspecto técnico del ataque se limitó a la creación de firmas aceptadas por el contrato de mercado de OpenSea

El criptoanalista “foobar” profundizó en el “aspecto técnico del hackeo” en otro post el 25 de enero, explicando que Rose aprobó un contrato de mercado de OpenSea para mover todas sus NFT cada vez que Rose firmaba transacciones.
Añadió que Rose siempre estaba a “una firma maliciosa” de un exploit:

be super careful when signing anything, even offchain signatures. kevin rose just had ~$2 million worth of NFTs drained from his vault from signing one malicious seaport bundle. thankfully a couple things held back, like the punk zombie (1000 ETH) which can’t be traded on OS pic.twitter.com/GXHR3NQHLf
— foobar (@0xfoobar) January 25, 2023

Ten mucho cuidado al firmar cualquier cosa, incluso firmas offchain. A Kevin Rose le acaban de drenar ~2 millones de NFT de su bóveda por firmar un paquete malicioso de seaport. Afortunadamente un par de cosas se contuvieron, como el zombie punk (1000 ETH) que no se puede negociar en OS pic.twitter.com/GXHR3NQHLf

El criptoanalista dijo que Rose debería, en cambio, haber estado “silenciando” sus activos de NFT en un monedero separado:

“Mover los activos de su bóveda a un monedero de “venta” separado antes de listarlos en los mercados de NFT evitará esto.”

Otro analista on-chain, “Quit”, dijo a sus 71,400 seguidores de Twitter que la firma maliciosa fue habilitada por el contrato del mercado Seaport, la plataforma que impulsa OpenSea:

Kevin Rose was just lost $2m+ in assets by signing an off-chain signature that created a listing for all of his OpenSea approved assets in one go.While seaport is a powerful tool, it can also be dangerous if you’re not aware of how it works.A bit of context 1/
— quit (@0xQuit) January 25, 2023

Kevin Rose acababa de perder más de USD 2 millones en activos al firmar una firma off-chain que creaba un listado de todos sus activos aprobados por OpenSea de una sola vez.  Aunque el seaport es una herramienta poderosa, también puede ser peligrosa si no se es consciente de cómo funciona. Un poco de contexto 1/

Quit explicó que los explotadores fueron capaces de configurar un sitio de phishing que fue capaz de ver los activos de NFT mantenidos en el monedero de Rose.
A continuación, el atacante creó una orden para transferirse a sí mismo todos los activos de Rose aprobados en OpenSea.
A continuación, Rose validó la transacción maliciosa, señaló Quit. 
Mientras tanto, foobar señaló que la mayoría de los activos robados estaban muy por encima de su precio mínimo, lo que significa que la cantidad robada podría ascender a USD 2 millones.
Quit instó a los usuarios de OpenSea a “huir” de cualquier otro sitio web que incite a los usuarios a firmar algo que parezca sospechoso.

NFT en movimiento
El analista on-chain ZachXBT compartió un mapa de transacciones con sus 350,300 seguidores de Twitter en el que se muestra que el explotador envió los activos a FixedFloat, un exchange de criptomonedas de la capa 2 de Bitcoin Lightning Network.
A continuación, el explotador cambió los fondos a bitcoin (BTC) y depositó el BTC en un mezclador de bitcoin:

Three hours ago Kevin was phished for $1.4m+ worth of NFTs. Earlier today the same scammer stole 75 ETH from another victim.Mapping this out we can see a clear trend of sending the stolen funds to FixedFloat and swapping for BTC before depositing to a bitcoin mixer. https://t.co/2yrFpfYttT pic.twitter.com/ZlywPYydwx
— ZachXBT (@zachxbt) January 25, 2023

Hace tres horas, a Kevin le robaron más de USD 1.4 millones en NFT. Hoy mismo, el mismo estafador robó 75 ETH a otra víctima. Mapeando esto podemos ver una clara tendencia de enviar los fondos robados a FixedFloat y cambiarlos por BTC antes de depositarlos en un mezclador de bitcoin. https://t.co/2yrFpfYttT pic.twitter.com/ZlywPYydwx

El miembro de la criptocomunidad de Twitter Degentraland dijo a sus 67,000 seguidores que era la “cosa más triste” que ha visto en el espacio de criptomonedas hasta la fecha, y agregó que si alguien puede volver de una hazaña tan devastadora, “es él”:

Saddest thing I’ve seen in crypto to [email protected] wallet drained.If anyone can come back from this, it’s him. pic.twitter.com/HZysg34qji
— Degentraland (@Degentraland) January 25, 2023

Lo más triste que he visto en criptomonedas hasta la [email protected] billetera drenada.
Si alguien puede recuperarse de esto, es él. pic.twitter.com/HZysg34qji

Por su parte, el fundador de Bankless, Ryan Sean Adams, se enfureció con la facilidad con la que Rose pudo ser explotado. En un tuit del 25 de enero, Adams instó a los ingenieros de front-end a mejorar su experiencia de usuario (UX) para evitar que se produzcan estas estafas.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.