Hacker nutzen OpenSea-Funktion, um teure Apes und NFTs zu stehlen

Harpie macht NFT-Benutzer auf neue Tricks aufmerksam, die von Hackern bei gaslosen Käufen auf OpenSea verwendet werden. Die Plattform behauptet, dass Hacker in den letzten Monaten Apes im Wert von mehreren Millionen gestohlen haben.

Hackern ist es mithilfe einer wenig bekannten OpenSea-Funktion gelungen, NFTs wie durch Zauberei zu stehlen. Es ist der neueste Hack, und mehrere Millionen in Apes sind bereits dadurch verloren gegangen. (🧵1/4) pic.twitter.com/fTK20WQrgh

– Harpie (@harpieio) 22. Dezember 2022

Normalerweise müssen Benutzer eine Signaturanforderung mit einer unverständlichen Nachricht genehmigen, um gaslose Verkäufe auf dem beliebten NFT-Marktplatz OpenSea zu tätigen und auch private Auktionen zu erstellen. Signaturen werden häufig als notwendige Schritte angezeigt, um sich anzumelden und die Website zu nutzen.

Phishing-Websites machen sich diese technische Lücke zunutze und fordern ihre Opfer inzwischen auf, unwissentlich mit einem dieser unverständlichen Zeichen zu unterschreiben.

Bei den von Hackern an Opfer gesendeten Anmeldenachrichten handelt es sich um Signaturanforderungen, in denen der Benutzer aufgefordert wird, private Verkäufe und die sofortige, kostenlose Übertragung von Vermögenswerten auf das Hackerkonto zu genehmigen.

Harpie weist darauf hin, dass dieser Trick und die Phishing-Kampagne dazu geführt haben, dass Apes im Wert von mehreren Millionen Dollar vom beliebten NFT-Marktplatz transferiert wurden.

Web3-Benutzer sollten sich vor Ice-Phishing in Acht nehmen

Nach einem kürzlichen Phishing-Angriff auf Metamask warnte das Blockchain-Sicherheitsunternehmen CertiK die Kryptowährungs-Community vor einer Praxis, die sie „Ice-Phishing“ nennt.

Betrüger nutzen diese Schwachstelle, um Web3-Benutzer dazu zu bringen, Berechtigungen zu unterzeichnen, die den Angreifern das Recht geben, ihre Token zu verwenden. Der Betrug ist laut CertiK auf die Web3-Branche beschränkt und stellt eine ernste Gefahr dar.

Am 17. Dezember wies ein Analyst darauf hin, dass ein Betrüger angeblich 14 Bored Ape NFTs mithilfe der gaslosen Seaport-Signaturfunktion gestohlen hat.

Der Hacker führte umfangreiche Social Engineering-Maßnahmen durch, bevor er das Opfer zu einer gefälschten NFT-Plattform führte und nach dem Konto fragte, das zum Abschluss eines Vertrags verwendet wurde. Anschließend wurde die Brieftasche des Opfers gestohlen.