Usuarios de OpenSea reportan una masiva campaña de phishing por email

Usuarios del principal mercado de tokens no fungibles (NFT) OpenSea han informado que están siendo objeto de un nuevo ataque de phishing por correo electrónico y han recibido correos electrónicos con enlaces maliciosos de atacantes haciéndose pasar por el mercado.

Según informes en redes sociales, usuarios y desarrolladores de OpenSea han sido blanco de varias campañas de phishing por correo electrónico, incluyendo una alerta falsa de riesgo de cuenta de desarrollador y una oferta falsa de NFT.

Un desarrollador de OpenSea informó en X (anteriormente Twitter) el 13 de noviembre que recibió un intento de phishing en un correo electrónico dedicado exclusivamente a su clave de API de OpenSea. “En otras palabras, los contactos de los desarrolladores han sido extraídos de OpenSea y son el verdadero objetivo de esta campaña”, decía el mensaje.

Correcto, no hay vulnerabilidad en el contrato inteligente. Pero desafortunadamente, acabo de recibir un intento de phishing, a un correo electrónico que estaba estrictamente dedicado a mi clave API de OpenSea. En otras palabras, los contactos de los desarrolladores han sido extraídos de OpenSea y son el verdadero objetivo de esta campaña. https://t.co/GD4UgwWIrx pic.twitter.com/rtyUJBMlwl

— Quantity (@quantity) 13 de noviembre de 2023

Correcto, no hay vulnerabilidad en el contrato inteligente. Pero desafortunadamente, acabo de recibir un intento de phishing, a un correo electrónico que estaba estrictamente dedicado a mi clave API de OpenSea. En otras palabras, los contactos de los desarrolladores han sido extraídos de OpenSea y son el verdadero objetivo de esta campaña.

Otro usuario de OpenSea recurrió a Reddit para expresar confusión sobre la continua campaña de phishing el 14 de noviembre.

“No he usado OpenSea durante años y de repente, sigo recibiendo correos electrónicos hablando sobre ofertas para mis listados de NFT”, escribió el usuario, añadiendo que todos los enlaces vulnerables intentaban dirigir al lector a instalar una aplicación maliciosa.

“Ahora mismo estoy recibiendo 3-4 correos electrónicos de estafa/phishing al día, lo cual es una locura ya que no recibí ninguno hace apenas unas semanas”, escribió el usuario de Reddit, añadiendo:

“Entonces mi pregunta es, ¿algo nuevo le pasó a OpenSea? La dirección de correo electrónico mía a la que están atacando es una que creé específicamente para OpenSea, así que no estoy preocupado, pero sé que OpenSea tuvo hackeos previamente. ¿Simplemente están atacando mi correo electrónico ahora o hay algo nuevo?”

La noticia llega unas semanas después de que uno de los proveedores externos de OpenSea sufriera un incidente de seguridad que expuso información relacionada con claves API de usuarios. OpenSea informó de la brecha en un correo electrónico de notificación a los usuarios afectados a finales de septiembre de 2023, indicando que los correos electrónicos de los usuarios y las claves API de desarrolladores podrían haber sido filtrados debido al ataque.

Elige bien a tu tercero…
Opensea publicó que un proveedor fue atacado, lo que resultó en la filtración de las claves API de los desarrolladores.
Consulta a un consultor de seguridad profesional sobre la seguridad del tercero antes de elegir. Ejemplo: @SlowMist_Team pic.twitter.com/jcBJ9IaAEN

— 23pds (@IM_23pds) 23 de septiembre de 2023

Elige bien a tu tercero…
Opensea publicó que un proveedor fue atacado, lo que resultó en la filtración de las claves API de los desarrolladores.
Consulta a un consultor de seguridad profesional sobre la seguridad del tercero antes de elegir

Los usuarios de OpenSea ya habían recibido correos electrónicos de phishing anteriormente. En febrero de 2022, OpenSea confirmó oficialmente que su plataforma enfrentó un ataque de phishing desde fuera del sitio web de OpenSea y instó a los usuarios a no hacer clic en ningún enlace de los correos electrónicos. La firma también estaba investigando rumores de una vulnerabilidad asociada con los contratos inteligentes relacionados con OpenSea.

OpenSea no respondió de inmediato a la solicitud de comentarios de Cointelegraph.

Esta última campaña de phishing ocurre justo después de que OpenSea despidiera al 50% de su personal, con la intención declarada de lanzar OpenSea 2.0 con un equipo más pequeño.

Este ataque es otro recordatorio para la comunidad de criptomonedas de permanecer vigilante al recibir correos electrónicos de proveedores de servicios. Para evitar un hackeo de phishing, los usuarios deben tener precaución sobre la autenticidad del remitente del correo electrónico y los enlaces asociados. Los usuarios también deben recordar que las empresas de criptomonedas nunca solicitan a sus usuarios datos personales como direcciones de billetera o claves privadas.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.