El domingo, los piratas informáticos se infiltraron en la popular plataforma de registro NFT Premint y se llevaron 320 NFT robados y más de $400,000 en ganancias en uno de los mayores hackeos de este año.

Según el análisis de la firma de seguridad blockchain CertiK, los piratas informáticos comprometieron el sitio web de Premint el domingo con código JavaScript malicioso. Luego crearon una ventana emergente dentro del sitio que pedía a los usuarios que verificaran la propiedad de su billetera, aparentemente como una medida de seguridad adicional.

Varios usuarios se dieron cuenta rápidamente de que la ventana emergente era ilegítima e inmediatamente recurrieron a Twitter y Discord para advertir a otros que no siguieran sus instrucciones. Aun así, en cuestión de minutos, los hackers ya habían engañado a varios clientes de Premint.

🚨URGENT PSA 🚨
Premint has been compromised. Do NOT confirm any transactions, it will drain your wallet pic.twitter.com/PJnz30Nfqn

— Cryptovalley | Amassing.eth (@SpiritAzuki) July 17, 2022

Los NFT robados incluían los de las populares colecciones Bored Ape Yacht Club, Otherside, Moonbirds Oddities y Goblintown. Después de asegurar estos NFT, los hackers inmediatamente comenzaron a voltearlos en mercados como OpenSea; un bored Ape robado obtuvo un precio de 89 ETH, o alrededor de $132,000.

En el transcurso del domingo, los piratas informáticos recolectaron 275 ETH, o poco más de $400,000, en ventas de los 320 NFT robados.

Luego, los piratas informáticos enviaron los fondos a Tornado Cash, un servicio que agrupa los depósitos de criptomonedas de muchos usuarios y los mezcla, eliminando efectivamente el rastro digital que generalmente dejan las transacciones de blockchain. Los servicios de mezcla como Tornado Cash son utilizados con frecuencia por los ciberdelincuentes para «limpiar» la criptomoneda robada.

Ayer, Premint recurrió a Twitter para reconocer el hackeo y asegurar a los usuarios que la mayoría de las cuentas no se vieron afectadas por el hackeo. «Gracias a la increíble comunidad web3 que difunde advertencias, un número relativamente pequeño de usuarios cayó en esto», tuiteó la compañía.

Last night, a file was manipulated on PREMINT by an unknown third party that led to users being presented with a wallet connection that was malicious.

— PREMINT | NFT Access List Tool (@PREMINT_NFT) July 17, 2022

Algunos usuarios de Premint señalaron, sin embargo, que el sitio pirateado se dejó inactivo durante aproximadamente 10 horas después de que los piratas informáticos se infiltraron por primera vez en él el domingo temprano. Otros lamentaron la pérdida de sus activos digitales y preguntaron si Premint reembolsaría a estas cuentas el valor de los NFT robados.

Got scammed / drained because I’m stupid and trust you. Please make sure you help / refund people that had trust in you.

— nummer1.eth || 9311.eth (@the_nftgoat) July 17, 2022

Will the compensation be paid? Many people want to know!

— minakoch (@minakochenhe) July 17, 2022

Desde entonces, Premint ha comenzado a acumular datos sobre todos los NFT robados en el hackeo. La compañía se negó a responder a Decrypt en el registro.

Quizás irónicamente, en los días previos al hackeo, la compañía había planeado anunciar una nueva característica de seguridad: la capacidad de iniciar sesión en Premint a través de Twitter o Discord, un método que permitiría a los usuarios acceder al sitio sin ingresar los detalles de la billetera directamente. Cualquier cliente de Premint que utilice un método de inicio de sesión de este tipo habría estado protegido del hackeo de ayer.

Sin embargo, la función aún no se había lanzado. Después de los eventos del domingo, el liderazgo de Premint decidió implementar la función unos días antes de lo previsto:

Was planning on announcing this later this week, but given what’s going on, wanted to roll it out asap. https://t.co/GcyYLxWLNM

— BrendΞn Mulligan | PREMINT (@mulligan) July 18, 2022

El hackeo es solo la última estafa dirigida al mercado de NFT, que solo el año pasado generó $25 mil millones en ventas. En febrero, una estafa de phishing en OpenSea robó más de $1.7 millones en NFT. En abril, un hackeo de la cuenta de Instagram de Bored Ape Yacht Club condujo a un robo de NFT de $2.8 millones. El mes pasado, el actor Seth Green pagó casi $300,000 para recuperar un Bored Ape NFT robado que planeaba hacer la pieza central de una próxima serie de televisión.

A pesar de la enorme cantidad de capital que fluye a través del espacio NFT, la seguridad de estos activos, especialmente cuando están conectados a empresas centralizadas como Premint, sigue siendo un problema duradero.

Como dijo un usuario de Premit, «La seguridad es lo más importante que no se toma en serio en el espacio criptográfico».

Pagina Original:

300+ NFTs Stolen, $400K in Ethereum Taken In Premint Hack