Los servidores de Discord de varios proyectos importantes de NFT fueron hackeados por ciberdelincuentes este viernes a través de una estafa de phishing en la que engañaron a varios usuarios para que entregaran sus certificados digitales.
Por: Clarín
Bored Ape Yacht Club, Nyoki y Shamanz confirmaron hacks de Discord en Twitter. Según las capturas de pantalla compartidas por el investigador independiente de blockchain Zachxbt, los proyectos “Discords of NFT “Doodles y Kaiju Kingz también fueron atacados. Doodles y Kaiju Kingz confirmaron en sus servidores que también fueron hackeados.
Discord es una plataforma de comunicación que usan muchos videojugadores para chatear y comunicarse mientras juegan, pero también lo usan otros servicios.
Los NFT son certificados de autenticidad de algo que existe en el mundo digital, no material. Sus siglas significan “token no fungible”. Un token es un activo digital que en este caso se integra a un blockchain (Ethereum y Solana) y que sea “no fungible” implica que no es intercambiable. La fungibilidad significa que algo es intercambiable e indistinguible: un billete de mil pesos argentinos es intercambiable por cualquier otro billete de mil pesos argentinos.
Los tokens, como las obras de arte, son no fungibles porque no hay forma de reemplazarlos: el primer tuit de la historia es uno solo, del mismo modo en que hay solo una Piedad original de Miguel Ángel.
Básicamente, cualquier imagen digital se puede comprar como NFT. Es por esto que, durante el año pasado y el actual, se vendió el primer tuit de la historia, un famoso meme -“Disaster Girl”-, obras de arte de Grimes, el código fuente original de la web creado por Tim Berners-Lee y una nota periodística del NYT. Hasta Javier Milei, flamante legislador por la Ciudad de Buenos Aires, vendió un NFT: un video donde él prendía fuego el Banco Central.
Cómo se dieron cuenta del hackeo
“Oh, no, nuestros perros están mutando”, decía una de las publicaciones de phishing publicadas en BAYC Discord por un bot comprometido visto por Motherboard. “MAKC se puede apostar por nuestro token $APE. Los poseedores de MAYC + BAYC podrán reclamar recompensas exclusivas simplemente acuñando y manteniendo a nuestros perros mutantes”.
El objetivo de la estafa era engañar a los usuarios para que hicieran clic en un enlace para “acuñar” un NFT falso mediante el envío de ETH y, en algunos casos, un NFT para envolver en un token.
“Manténganse a salvo. No compren nada de ningún Discord en este momento. Un webhook en nuestro Discord se comprometió brevemente”, dijo la cuenta oficial de Twitter de BAYC la madrugada del viernes.
“Lo detectamos de inmediato, pero tenga en cuenta: no estamos haciendo “minting” ni lanzando nada por el April Fool’s, etc. Otros Discords también están siendo atacados en este momento”, aclararon.
La cuenta de Twitter de Nyoki, la otra marca conocida de NFTs, envió una advertencia similar. “Junto con proyectos de primer nivel como BAYC y Doodles, nuestro servidor también se vio comprometido hoy debido a un reciente ataque a gran escala”, decía el tuit. “Hemos tenido todo bajo control en menos de 30 minutos.
Se vincularon dos direcciones de billetera a los hacks, ahora etiquetados como Fake_Phishing5519 y Fake_Phishing5520 en el explorador de cadena de bloques Etherscan. Al menos un Mutant Ape Yacht Club NFT (una derivación de BAYC del desarrollador Yuga Labs) fue robado y vendido rápidamente por la billetera 5519, que envió 19,85 ETH a la billetera 5520.
Esta segunda billetera envió 61 ETH ($ 211,000) al servicio de mezcla Tornado Cash el viernes por la mañana temprano. La última transacción de esa billetera es una transferencia de .6 ETH a una billetera previamente inactiva que luego envió la misma suma a una billetera increíblemente activa que actualmente tiene 1447 ETH ($5 millones), 6 millones de monedas Tether ($6 millones) y una surtido de otras fichas.
Este no es el primer ataque dirigido a criptoactivos en Discord, que es un centro para la gran mayoría de los proyectos a pesar de ser una plataforma centrada en los juegos, ni será el último. Los criptoproyectos ya tienen que lidiar con exploits que se aprovechan de los errores de los contratos inteligentes, pero el hecho de que un número excesivo de ellos también vivan en Discord los expone a estafas que explotan la propia plataforma.
Ya hemos visto numerosas cuentas de alto perfil ser víctimas de esquemas que secuestraron bots responsables de anuncios en todo el canal y promocionaron sitios para robar ETH, NFT o billeteras. Es probable que nada de esto se detenga pronto dado lo central que es Discord para varias comunidades y su capacidad para compartir actualizaciones instantáneamente, colaborar en proyectos o compartir ideas.
Discord no respondió de inmediato a la solicitud de comentarios de medios especializados.