Хакеры используют функцию OpenSea для кражи дорогих Apes и NFT

Harpie предупреждает пользователей NFT о новых трюках, используемых хакерами, связанных с безгазовыми покупками на OpenSea. Платформа утверждает, что за последние несколько месяцев хакеры украли Apes на миллионы долларов.

Хакерам удалось украсть NFT как по волшебству с помощью малоизвестной функции OpenSea. Это новейший хак, и из-за него уже потеряно несколько миллионов в Apes. (🧵1/4) pic.twitter.com/fTK20WQrgh

– Гарпия (@harpieio) 22 декабря 2022 г.

Обычно пользователям приходится одобрить запрос на подпись с неразборчивым сообщением, чтобы совершать безгазовые продажи на популярной торговой площадке NFT OpenSea, а также создавать частные аукционы. Подписи часто представляются как необходимые шаги для входа в систему и использования веб-сайта.

Воспользовавшись этой технической лазейкой, фишинговые сайты начали просить жертв неосознанно подписать один из этих непонятных символов.

Сообщения для входа, отправляемые хакерами жертвам, представляют собой запросы на подпись, в которых пользователю предлагается одобрить частные продажи и немедленную бесплатную передачу активов на учетную запись хакера.

Эта уловка и фишинговая кампания, как отмечает Харпи, привели к тому, что Apes на миллионы долларов были переведены с популярного рынка NFT.

Пользователям Web3 следует остерегаться ледяного фишинга

После недавней фишинговой атаки на Metamask компания CertiK, занимающаяся безопасностью блокчейнов, недавно предупредила криптовалютное сообщество о практике, которую они называют «ледяным фишингом».

Используя эту уязвимость, мошенники заставляют пользователей Web3 подписывать разрешения, которые дают злоумышленникам право использовать их токены. Мошенничество, по мнению CertiK, характерно исключительно для индустрии Web3 и представляет серьезную опасность.

17 декабря аналитик отметил, что мошенник, как сообщается, украл 14 NFT Bored Ape, используя функцию подписи Seaport без газа.

Хакер провел обширную социальную инженерию, прежде чем привести жертву на фальшивую платформу NFT и запросить учетную запись, используемую для заключения контракта. После этого у жертвы был украден кошелек.