Zberateľ NFT stráca 2.7 milióna dolárov v Bored Ape NFT a derivátoch

Zberateľ NFT Larry Lawliet prišiel v pondelok o sedem drahých Bored Apes a súbor ďalších NFT kvôli údajnému útoku sociálneho inžinierstva.

Zdá sa, že páchateľ oklamal Lawlieta, aby podpísal falošné transakcie, ktoré im umožnili prístup k jeho NFT. Tento prístup potom použili na prevod NFT do vlastnej peňaženky.

zákonník sa na Twitter s tým, že útočník ukradol 13 jeho NFT, vrátane siedmich Bored Apes, piatich Mutant Apes a jedného Doodle. Celková Lawlietova strata predstavuje 2.7 milióna dolárov na základe minimálnej ceny NFT ukradnutých z jeho peňaženky.

Ako sa to stalo

Problémy obete sa začali, keď ich vzal útočník (pravdepodobne tá istá osoba). ovládanie zo servera Discord inej zbierky NFT s názvom Moschi Mochi, aby zverejnil falošné oznámenie o extra mincovni. Podvod zahŕňal pozvanie členov komunity Moschi Mochi, aby sa zúčastnili extra mincovne 1,000 25,000 NFT, aby mali šancu vyhrať tombolu o XNUMX XNUMX dolárov.

Pohľad na adresu Lawlietovej peňaženky na Etherscan ukazuje, že interagoval s falošnou mincovňou a poslal 0.49 ETH výmenou za 14 podvodných NFT. Ihneď po prevode, Lawlietova transakčná história ukazuje početné „schvaľovacie“ transakcie.

Všetky tieto schvaľovacie transakcie mali hackerovu adresu „0xD27“ nastavenú ako schválenú adresu. To znamenalo, že obeť bola oklamaná, aby zavolala volanie „setApprovalForAll“ pri podpisovaní týchto transakcií vlastnou peňaženkou.

NFT, ktoré boli ukradnuté. obrázok: Twitter.

Kľúčovou vecou je, že keď niekto schváli blockchainovú transakciu cez prehliadač v aplikácii, ako je MetaMask, nie je vždy jasné, aké povolenia dáva webovej stránke. V tomto prípade obeť predpokladala, že ide o bežné transakcie, pričom v skutočnosti dávala kontrolu nad svojimi vlastnými NFT.

Na MetaMask je však funkcia, ktorá umožňuje používateľom preskúmať presnú povahu svojich transakcií pred ich vykonaním. Tento krok zahŕňa kliknutie na kartu „podrobnosti“, na ktorej sa zobrazia podrobnosti o transakcii vrátane dôležitých informácií, ako sú adresy, ktorým bol udelený súhlas. Ale počas zhonu po mincovni NFT to investori nemusia vždy skontrolovať.

Toto konkrétne zmluvné volanie — setApprovalForAll — umožnilo hackerovi iniciovať zmluvný hovor „transferFrom“, ktorý im umožnil preniesť všetky znudené opice obete do inej peňaženky. Pri programovaní umožňuje volanie používateľovi spustiť kód inej zmluvy, v tomto prípade možnosť preniesť NFT z obete na hackera.

Keď mal útočník povolenie ovládať NFT obete, začal ich presúvať do inej peňaženky. Hacker bol schopný použiť túto metódu na získanie Bored Apes a ďalších NFT vrátane mutantných opíc a čmáraníc.

Možné preventívne opatrenia

Majitelia populárnych zbierok NFT, ako je BAYC, sú aj naďalej cieľom útokov sociálneho inžinierstva, ktorých cieľom je ukradnúť ich cenné NFT. V čase písania tohto článku má kolekcia minimálnu cenu viac ako 118 ETH (320,000 XNUMX USD).

V reakcii na incidenty, ako sú tieto, bezpečnostní experti vo všeobecnosti odporúčajú používať „peňaženky s horákmi“, adresy, ktoré obsahujú len malé množstvo prostriedkov na pokrytie poplatkov za plyn. Ak sa teda transakcia stane phishingovým útokom, strata obete bude výrazne obmedzená.

Overenie podrobností o transakcii pred schválením môže byť tiež užitočným preventívnym opatrením. Ako Tal Be'ery položiť to, schválenia by sa mali týkať iba „dôveryhodných zmlúv“ s relatívne dlhou históriou transakcií. Webové peňaženky ako MetaMask zobrazujú podrobnosti o transakciách a môžu byť užitočným nástrojom pri odhaľovaní phishingových útokov.

© 2022 The Block Crypto, Inc. Všetky práva vyhradené. Tento článok sa poskytuje iba na informačné účely. Neponúka sa ani sa nemá používať ako právne, daňové, investičné, finančné alebo iné poradenstvo.