Moonbirds-Erfinder Kevin Rose verliert nach einem falschen Schritt über 1,1 Millionen Dollar in NFTs

Zu den vom PROOF-Mitbegründer gestohlenen nicht fungiblen Token (NFTs) gehörten 25 Chromie Squiggles und ein Autoglyph NFT.
Kevin Rose, Mitbegründer der Nonfungible Token (NFT)-Sammlung Moonbirds, wurde Opfer eines Phishing-Betrugs, in dessen Folge ihm seine eigenen NFTs im Wert von über 1,1 Millionen US-Dollar gestohlen wurden.
Am 25. Januar informierte der NFT-Erfinder und PROOF-Mitbegründer seine 1,6 Millionen Follower auf Twitter und riet ihnen, vom Kauf von Squiggles-NFTs abzusehen, bis sein Team sie als gestohlen kennzeichnen konnte.
„Ich freue mich über all Ihre herzlichen und ermutigenden Nachrichten. Eine vollständige Nachbesprechung folgt“, fügte er zwei Stunden später in einem separaten Tweet hinzu.
Roses NFTs wurden angeblich geleert, nachdem er eine betrügerische Unterschrift genehmigt hatte, durch die ein großer Prozentsatz seiner NFT-Vermögenswerte an den Ausbeuter übertragen wurde.
Einer unabhängigen Studie von Arkham zufolge hat der Exploiter mindestens einen Autoglyph mit einem Mindestpreis von 345 ETH, 25 Art Blocks, auch bekannt als Chromie Squiggles, im Gesamtwert von mindestens 332,5 ETH und neun OnChainMonkey-Produkte im Wert von jeweils mindestens 7,2 Ether extrahiert.
Insgesamt wurden mindestens 684,7 ETH (1,1 Millionen US-Dollar) abgebaut.
Während mehrere unabhängige On-Chain-Analysen geteilt wurden, erklärte Arran Schlosberg, Vizepräsident von PROOF – dem Unternehmen hinter Moonbirds – seinen 9.500 Twitter-Followern, dass Rose „durch Phishing dazu verleitet wurde, eine bösartige Signatur zu unterzeichnen“, wodurch der Angreifer eine große Anzahl an Token übertragen konnte:
In einem separaten Beitrag vom 25. Januar erläuterte der Kryptoanalyst „foobar“ die „technische Seite des Hacks“ und erklärte, dass Rose einem Vertrag mit dem OpenSea-Marktplatz zugestimmt habe, der vorsehe, alle seine NFTs zu verschieben, wann immer Rose Transaktionen unterzeichnete.
Rose sei immer „nur eine bösartige Signatur“ von einem Exploit entfernt, fügte er hinzu:
Rose, so der Kryptoanalyst, hätte seine NFT-Bestände in einer anderen Wallet „isolieren“ sollen:
„Dies lässt sich verhindern, indem Sie Vermögenswerte aus Ihrem Tresor in eine separate ‚Verkaufs‘-Wallet verschieben, bevor Sie sie auf NFT-Marktplätzen listen.“
Ein anderer On-Chain-Experte, „Quit“, teilte seinen 71.400 Twitter-Followern mit, dass die böswillige Signatur über den Seaport-Marktplatzvertrag möglich sei – die Infrastruktur, die OpenSea: The Sea of ​​Blockchain unterstützt.
Laut Quit gelang es den Angreifern, eine Phishing-Site einzurichten, die es ihnen ermöglichte, die in Roses Wallet aufbewahrten NFT-Assets zu untersuchen.
Der Exploiter erstellte dann einen Auftrag zur Übertragung aller auf OpenSea genehmigten Vermögenswerte von Rose an sich selbst.
Die betrügerische Transaktion wurde anschließend von Rose bestätigt, die „Beenden“ notierte.
Inzwischen gab foobar an, dass der Großteil der gestohlenen Vermögenswerte deutlich über dem Mindestpreis lag, was darauf schließen lässt, dass die Gesamtsumme bis zu 2 Millionen US-Dollar betragen könnte.
Quit riet OpenSea-Benutzern, von allen Websites „wegzulaufen“, die von ihnen verlangen, etwas Fragwürdiges zu unterschreiben.
ZachXBT, ein On-Chain-Forscher, veröffentlichte mit seinen 350.300 Twitter-Followern eine Transaktionskarte, die zeigt, dass der Exploiter die Gelder zu FixedFloat transportierte, einer Kryptowährungsbörse im Bitcoin Layer 2 Lightning Network.
Anschließend wandelte der Exploiter das Bargeld in Bitcoin (BTC) um und legte die BTC in einen Bitcoin-Mixer:
Degentraland, ein Krypto-Twitter-Nutzer, teilte seinen 67.000 Followern mit, dass dies das „traurigste Ding“ sei, das sie bisher in der Welt der Kryptowährungen gesehen hätten, und fügte hinzu, dass, wenn sich jemand von einem so schweren Hack erholen könne, „er es sei“:
Unterdessen war Bankless-Erfinder Ryan Sean Adams empört über die Leichtigkeit, mit der Rose ausgenutzt werden könnte. In einem Tweet vom 25. Januar forderte Adams Frontend-Entwickler auf, sich mehr Mühe zu geben und die Benutzererfahrung (UX) zu verbessern, um ähnliche Betrügereien zu vermeiden.
 