El mercado de tokens no fungibles (NFT) ha estado en auge desde el verano de 2021 y, a medida que los precios de los NFT se disparaban, también lo hacía el número de hackeos dirigidos a los NFT. 

El hackeo de alto perfil más reciente desvió aproximadamente 600 Ether (ETH) de NFT de Arthur0x, el fundador de DeFiance Capital, que luego se vendieron en OpenSea.

Un informe de 2022 sobre criptocrimen publicado por Chainalysis destacó que el valor enviado a los mercados de NFT por direcciones ilícitas se disparó significativamente en 2021, alcanzando un máximo de algo menos de 1,4 millones de dólares. También hubo un claro aumento de los fondos robados enviados a los mercados NFT.

Valor total ilícito que fluye hacia las plataformas NFT. Fuente: Chainalysis Crypto Crime Report 2022

Dado el preocupante y rápido aumento del valor ilícito que fluye hacia las plataformas NFT, es natural preguntarse si existen medidas y procedimientos de seguridad y, en caso afirmativo, si estas medidas son eficaces para proteger a los propietarios.

Echemos un vistazo a OpenSea, la mayor plataforma de NFT, y a sus medidas de seguridad.

Las medidas de seguridad de OpenSea no pueden proteger a los usuarios

OpenSea tiene dos medidas de seguridad principales que entran en acción una vez que una cuenta ha sido "hackeada": bloquear la cuenta comprometida y bloquear los NFT robados. Estas dos medidas son muy poco efectivas si se analizan detenidamente.

El bloqueo de la cuenta puede hacerse en el sitio web de OpenSea sin necesidad de aprobación humana, como se muestra aquí, mientras que el bloqueo de los NFT implica un largo proceso de envío de un ticket y la espera de la respuesta del equipo de ayuda de OpenSea.

En una situación en la que un hacker ya ha comprometido el monedero y está en proceso de transferir los NFTs, el bloqueo de la cuenta sólo será efectivo si se hace antes de que el hacker transfiera todo.

Del mismo modo, el bloqueo de los NFTs sólo es efectivo antes de que los NFTs sean vendidos a otro comprador por el hacker. Lo que es aún peor es que esta medida de seguridad crea una serie de víctimas indirectas que acaban con los NFTs bloqueados que no pueden ser vendidos o transferidos. Esto se debe a que el tiempo de respuesta para los tickets planteados en OpenSea es de al menos un día. Para cuando los NFT son bloqueados por OpenSea, ya habrían sido vendidos a otro comprador que ahora se convierte en la nueva víctima del delito.

En el caso de los 17 Azuki robados a Arthur0x, 15 fueron robados en el mismo minuto y dos fueron robados tres minutos después. El tiempo medio que estos NFT robados permanecieron en la cartera del hacker antes de ser vendidos es de 43 minutos. Las medidas de seguridad de OpenSea no son en absoluto lo suficientemente sensibles y rápidas como para informar a la víctima y detener al hacker; tampoco pueden informar a los compradores con la suficiente prontitud como para evitar que compren los NFT robados y se conviertan en víctimas indirectas.

NFTs de Azuki robados de Aurther0x. Fuente: Etherscan.io

El bloqueo de NFTs robados crea víctimas indirectas

Una víctima indirecta es alguien que no es el objetivo del hackeo pero que sufre indirectamente las pérdidas financieras causadas por el bloqueo de los NFT robados. Como se ha visto en muchos hackeos recientes de NFT, los NFT siempre se venden antes de que el bloqueo sea implementado por OpenSea. La consecuencia de bloquear los NFT demasiado tarde es que crea víctimas indirectas y más pérdidas para más personas.

Para ilustrar con más detalle cómo cualquiera puede acabar comprando un NFT robado y convertirse en víctima indirecta de un hackeo, he aquí tres casos comunes:

Caso 1: Alicia compra un NFT pero descubre más tarde que se trata de un activo robado. El NFT está bloqueado y Alice no puede venderlo o transferirlo en OpenSea. Entonces, procede a plantear un ticket de soporte. Al cabo de varias semanas, el equipo de OpenSea Trust & Safety se ofrece a reembolsar el 2,5% de las tasas de la plataforma; y posiblemente la dirección de correo electrónico de la víctima que denunció el robo, si tiene suerte. Entonces, es probable que tenga una larga discusión con la víctima para negociar la posibilidad de levantar el bloqueo, que muy probablemente no acabará en nada.

Alice aún puede vender los NFT en otros mercados, pero el volumen de ventas es muy bajo para esta colección en particular y no hay ningún comprador que pueda ofrecer un precio justo en otras plataformas que no sean OpenSea.

Respuesta de OpenSea a la víctima indirecta que compró un NFT robad

Caso 2: Alice hizo múltiples ofertas mientras pujaba por NFT de una colección. Una de las ofertas fue aceptada por el hacker, que entonces recibió el pago de la puja en el monedero de la víctima y procedió a vaciar el monedero. El NFT fue bloqueado posteriormente como parte de los activos robados de las transacciones no autorizadas por la víctima.

Casos como éste ocurren a menudo porque los NFT listados no pueden ser transferidos a menos que se cancele el listado. El pirata informático, que está bajo presión de tiempo, será más propenso a aceptar una oferta y obtener los ingresos de la venta y transferir el dinero. El caso siguiente muestra cómo toda la colección de NFT de la víctima indirecta fue bloqueada por OpenSea sin explicación.

Caso 3: Alice es propietaria de un NFT desde hace tiempo y de repente se bloquea y se marca como "reportado por actividad sospechosa". La cuenta del vendedor no está comprometida y la transacción ocurrió hace tiempo. Dado que no se necesitan pruebas para denunciar un NFT robado y bloquearlo, cualquiera puede enviar un correo electrónico al equipo antifraude de OpenSea para bloquear cualquier NFT.

Aunque posteriormente se puede solicitar un informe policial, OpenSea no especifica de forma clara las pruebas necesarias para demostrar el hackeo ni la condición en la que se puede identificar y retirar del bloqueo un NFT robado denunciado falsamente. No hay ninguna consecuencia por denunciar falsamente los NFT robados.

A menudo, los NFT se bloquean sin que se den explicaciones ni se aporten pruebas, como informes policiales, a la víctima indirecta. En teoría, estos NFT pueden seguir negociándose en otras plataformas, pero dado el monopolio de OpenSea en el mercado, con el 95% del volumen total de negociación de NFT, bloquear cualquier NFT en OpenSea equivale casi a sacarla del mercado para siempre.

El bloqueo de los NFT podría aumentar artificialmente el precio

El peligro de bloquear la negociación de NFT robados en la mayor plataforma de NFT, OpenSea, es la reducción permanente de la oferta. Según la ley de la oferta y la demanda en la teoría económica, cuando la oferta disminuye, el precio sube.

Como ejemplo, la colección Azuki tiene 10.000 NFTs y actualmente, sólo 1.100 están a la venta en OpenSea. El hackeo de Arthur0x hizo que 17 fueran robados y bloqueados. Aunque 17 NFT son sólo un 1,5% de las 1.100 que están en circulación, el precio ya ha mostrado una tendencia al alza tras el hackeo. El hackeo se produjo el 22 de marzo y el precio alcanzó su punto máximo el 28 de marzo, con 20,96 E, antes del anuncio de la caída al aire el 31 de marzo, lo que supone un aumento del 55% en una semana.

Ventas de Azuki y precio medio tras el hackeo. Fuente: OpenSea

Aunque no todos los 17 NFT robados están bloqueados, ya que Arthur consiguió recuperar algunos negociando con las víctimas indirectas para que los volvieran a comprar, los futuros hackeos de forma similar se producirán continuamente y el número acumulado de NFT bloqueados sólo puede aumentar a medida que los hackeos continúen y no haya procedimientos para desbloquearlos.

Utilizando de nuevo el ejemplo de Azuki, el gráfico siguiente recoge el número histórico de ventas y el precio medio para crear una curva de demanda y asume que la curva de oferta es lineal. El punto en el que se cruzan las curvas de oferta y demanda es el precio de equilibrio.

A medida que la oferta disminuye continuamente, la velocidad de aumento del precio se acelera a medida que la pendiente de la curva de la demanda se hace más pronunciada. Una disminución igual de 300 NFT en la oferta de 1.000 a 700 verss de 700 a 400 se traduce en un aumento mayor del precio de esta última.

Como se muestra en el gráfico siguiente, el precio aumenta de 15 ETH a 21 ETH a partir de la reducción de 1.000 a 700, pero aumenta más de 21 ETH a 28 ETH a partir de la reducción de 700 a 400.

Curva de oferta y demanda de Azuki basada en las ventas y precios de OpenSea

Es evidente que el bloqueo de los NFT robados podría aumentar artificialmente el precio de la colección. Si alguien quisiera aprovecharse de la laguna del sistema de seguridad de OpenSea denunciando falsamente muchos NFT de la misma colección como robados (ya que no se requieren pruebas para denunciar los NFT robados), el precio de la colección podría aumentar drásticamente si la oferta es baja. Esta laguna jurídica podría crear oportunidades para la manipulación de los precios en el mercado ilíquido de los NFT.

En cualquier caso, bloquear los NFT no es una medida eficaz para detener el pirateo o castigar al pirata, sino que, por el contrario, crea más víctimas indirectas y lagunas para los manipuladores del mercado. Desde luego, este no es el camino a seguir, así que ¿hay alguna medida de seguridad eficaz?

Es necesario establecer medidas preventivas y un sistema basado en pruebas

El actual sistema de seguridad de OpenSea no cuenta con medidas preventivas para proteger a los usuarios por adelantado. Todas las medidas de seguridad se aplican sólo después del hackeo, lo cual es una de las principales razones por las que son ineficaces.

Según el comportamiento de los hackers, el tiempo es un componente esencial. Las medidas de seguridad que pueden frenar al hacker o informar a las víctimas a tiempo son las claves para ganar la batalla. He aquí algunas medidas preventivas más eficaces que puede aplicar OpenSea:

  • Crear un sistema de alerta temprana que pueda detectar la actividad anormal de la cuenta y enviar mensajes de texto instantáneos o alertas por correo electrónico para informar a los usuarios de dicha actividad, de modo que tengan tiempo suficiente para responder. Por ejemplo, si la cuenta nunca ha comprado o transferido más de un NFT en un minuto; o si la cuenta nunca ha tenido actividades en el pasado durante un periodo de tiempo específico (es decir, zonas horarias en las que el usuario está dormido), la aparición de dichas actividades será detectada por algoritmos de aprendizaje automático. El titular de la cuenta puede elegir entre ser informado inmediatamente o permitir que la cuenta se bloquee automáticamente por seguridad.
  • Proporcionar a los usuarios la opción de restringir el número máximo de transferencias o ventas de NFT permitidas dentro de un marco temporal, es decir, un máximo de una transferencia o venta en un minuto; o un intervalo de tiempo mínimo impuesto entre cada transferencia o venta, es decir, la siguiente transferencia o venta sólo puede ocurrir 15 minutos después de la anterior. Estas medidas pueden evitar que los hackers roben un gran número de NFT de una sola vez.
  • Crear paneles de cuentas sospechosas que permitan a las víctimas añadir instantáneamente las cuentas comprometidas y las cuentas de los hackers para su escrutinio público. Esto dará a todos los compradores información en tiempo real sobre las cuentas sospechosas y la posibilidad de comprobar si el vendedor está en la lista antes de comprar. Más adelante se podrán solicitar pruebas, como un informe policial, a la víctima para demostrar que las cuentas denunciadas están realmente comprometidas.

Algunas de estas medidas pueden crear falsas alarmas e inconvenientes. Pero teniendo en cuenta que se trata de una carrera de tiempo contra el hacker cuando se trata de medidas preventivas, los usuarios prefieren prevenir que lamentar para evitar convertirse en la próxima víctima.

Conceptos erróneos comunes sobre el hacking de criptomonedas

Un concepto erróneo común sobre el hackeo de criptomonedas es que "esto no me pasará a mí porque mi conciencia de seguridad es alta y uso una cartera dura". Puede ser cierto que un hackeo malicioso directo puede evitarse mediante buenas prácticas de seguridad, pero cualquiera puede convertirse en una víctima indirecta de un hackeo dirigido a otra persona. Cuando el número de hacks aumenta, la posibilidad de convertirse en una víctima indirecta también es mucho mayor.

Otra idea errónea es: "mientras no guarde demasiado dinero en mi monedero caliente, no importa si el monedero se ve comprometido". Lo que la mayoría de los usuarios no comprende es que la pérdida monetaria es sólo una de las repercusiones del hackeo. Perder un monedero Web3 es como perder todo el historial crediticio. Cualquier beneficio futuro basado en actividades pasadas, como los airdrops o el acceso a préstamos y apalancamientos, también podría evaporarse con el monedero comprometido.

Aunque blockchain es una de las tecnologías financieras más seguras jamás creadas, los hackeos maliciosos hacia las plataformas basadas en criptomonedas son la mayor amenaza para la empresa Web3.

Dada la naturaleza irreversible de blockchain y la falta de medidas de seguridad preventivas de OpenSea, no es difícil ver que la mejor solución que se le ocurrió a OpenSea tras el hackeo de la subasta de dominios de Ethereum es ofrecer al hacker un beneficio del 25% de la venta a cambio de la devolución de los NFT robados. Sólo en el mundo del mercado de NFTs un delincuente puede ser recompensado en lugar de castigado por un delito tan grave.

Como monopolio del mercado de NFT, OpenSea puede sin duda hacer algo mejor que esto y tomarse más en serio las medidas de seguridad y ofrecer más protección a sus usuarios.

Los puntos de vista y opiniones expresados aquí son únicamente los del autor y no reflejan necesariamente los puntos de vista de Cointelegraph.com. Cada inversión y movimiento comercial implica un riesgo, debe realizar su propia investigación al tomar una decisión.