Aunque los NFT son etiquetados por actividad sospechosa en OpenSea, siguen siendo un negocio lucrativo para los piratas informáticos.
Un informe de la empresa de seguridad Web3 Immunefi, reveló que desde su lanzamiento en junio de 2021, la colección Bored Ape Yacht Club (BAYC) ha sufrido el robo de casi 150 tokens no fungibles.
Los 143 NFT tienen un valor total de alrededor de 13,582,962 dólares. Estos fueron robados a sus propietarios a través de diferentes formas de estafa y hackeos.
NFT de BAYC robados mediante ataques phishing y hackeos
La mayor parte del robo ocurrió durante los dos ataques más relevantes, efectuados en abril de 2022, mediante un ataque phishing en el que los piratas informáticos publicaron en la página oficial de Instagram de BAYC, un enlace malicioso utilizado para robar datos de los usuarios.
El enlace llevaba a los usuarios a una copia del sitio oficial de BAYC, donde se mencionaban una serie de “beneficios” nunca antes mencionados. Una vez que se accede a dicho enlace, los piratas informáticos obtienen acceso a las billeteras de las víctimas.
Un ataque similar se efectuó en junio, cuando los delincuentes publicaron otro enlace phishing desde los canales de Discord de BAYC y Otherside, la plataforma de metaverso creada por Yuga Labs, la empresa detrás de BAYC.
Los datos proporcionados por Immunefi, provienen de un análisis en la plataforma OpenSea en busca de tokens BAYC marcados por actividad sospechosa, y una revisión de las redes sociales en busca de reclamos por robo que llevaron a un análisis de la cadena de bloques. Esto, desde la creación de la colección hasta la publicación del informe a inicios de agosto de este año.
Y aunque 143 NFT puede sonar a poco en comparación con los 10,000 BAYC en circulación, lo preocupante es que es sumamente complicado regresar dichos activos a sus dueños originales.
Esto se debe a que Yuga Labs otorga los derechos de propiedad intelectual a los titulares de Bored Ape, estos derechos se transfieren a los incautos (o no tanto) compradores de los NFT robados.
Un ejemplo de ello es la situación por la que pasa el comediante Seth Green, quien en mayo anunció que varios de sus NFT fueron robados mediante una estafa phishing. Green utilizaba uno de sus Bored Ape en el desarrollo de un programa de televisión, cuya continuidad quedó en duda luego del ataque.
Otro caso de explotación de propiedad intelectual de esta colección es el uso que le han dado los raperos Eminem y Snoop Dogg, quienes lanzaron un video musical y mercadería con sus BAYC como protagonistas. Este uso de los derechos de propiedad se ve fuertemente amenazado frente al creciente número de ataques phishing.
¿Qué ha pasado con los BAYC robados?
De los 143 NFT mencionados por Immunefi, tan solo 9 se han eliminado de las listas NFT de OpenSea por actividad sospechosa. Los 134 Apes restantes se encuentran congelados en medio de la investigación.
“En estos días, los mercados no tienen el control”, dijo Alejandro Muñoz-McDonald, ingeniero de software de Immunefi, a ARTnoticias. “La gente todavía puede transferir [stolen assets] a otra cuenta y venderlos en mercados descentralizados donde las funciones de listas negras no están disponibles”.
Alejandro Muñoz-McDonald también explicó que una vez que un NFT valioso es robado, los delincuentes intentan un “lavado de la transacción” del artículo, esto mediante una serie de transferencias entre diferentes cuentas. Lo que genera una vista un poco más inocente y difumina el vínculo con el sospechoso y su dirección temporal de Ethereum.
El informe también reveló que un BAYC con etiqueta de actividad sospechosa en OpenSea, fue recientemente vendido por 194 ETH, unos 267,914 dólares a principios de agosto.
Ya veremos si qué medidas extra de seguridad podrán asumir las distintas empresas de NFT para proteger al mercado y los usuarios frente a este tipo de ataques.
