Hakerzy wykorzystują funkcję OpenSea do kradzieży drogich Małp i NFT

Harpie ostrzega użytkowników NFT o nowych sztuczkach hakerów związanych z zakupami bez gazu na OpenSea. Platforma twierdzi, że hakerzy ukradli następnie małpy warte miliony w ciągu ostatnich kilku miesięcy.

Hakerzy byli w stanie kraść NFT jak za dotknięciem czarodziejskiej różdżki za pomocą mało znanej funkcji OpenSea. To najnowszy hack, a wiele milionów w Apes zostało już przez niego straconych. (🧵1/4) pic.twitter.com/fTK20WQrgh

— Harpie (@harpieio) 22 grudnia 2022 r

Zazwyczaj użytkownicy muszą zatwierdzić prośbę o podpis z niezrozumiałą wiadomością, aby dokonać sprzedaży bez gazu na popularnym rynku NFT, OpenSea, a także utworzyć prywatne aukcje. Podpisy są często przedstawiane jako niezbędne kroki do zalogowania się i korzystania ze strony internetowej.

Wykorzystując tę ​​lukę techniczną, witryny phishingowe zaczęły nieświadomie prosić ofiary o podpisanie jednego z tych niezrozumiałych znaków.

Wiadomości logowania wysyłane przez hakerów do ofiar zawierają prośby o podpis użytkownika i zgodę na prywatną sprzedaż oraz natychmiastowe i bezpłatne przekazanie środków na konto hakera.

Jak zauważa Harpie, ta sztuczka i kampania phishingowa doprowadziła do przeniesienia tokenów Apes z popularnego rynku NFT na kwotę milionów dolarów.

Użytkownicy Web3 powinni uważać na phishing w ramach ice

Po niedawnym ataku phishingowym na Metamask, firma CertiK, zajmująca się bezpieczeństwem blockchain, ostrzegła niedawno społeczność kryptowalutową przed praktyką, którą nazywają „ice phishing”.

Wykorzystując tę ​​lukę, oszuści nakłaniają użytkowników Web3 do podpisania uprawnień, które dają atakującym prawo do korzystania z ich tokenów. Oszustwo, według CertiK, jest wyłączną cechą branży Web3 i stanowi poważne zagrożenie.

17 grudnia analityk wskazał, że oszust rzekomo ukradł 14 tokenów NFT Bored Ape, korzystając z funkcji podpisu Seaport bez użycia gazu.

Haker przeprowadził rozległą inżynierię społeczną, zanim zaprowadził ofiarę na fałszywą platformę NFT i poprosił o konto, z którego miała zostać zawarta umowa. Następnie portfel ofiary został skradziony.