Moonbirds Creator stráca 1 milión $ v NFT po zneužití peňaženky

Tvorca zbierky Moonbirds NFT, Kevin Rose, stratil približne 1 milión dolárov v NFT po tom, čo sa stal obeťou zneužitia peňaženky. 

Rose stratila množstvo NFT, vrátane 25 Chronie Squiggles a Autoglyph NFT. Hack potvrdil sám Rose na svojom účte na Twitteri. 

Miliónová strata 

Kevin Rose, spoluzakladateľ kolekcie Moonbirds NFT, sa stal obeťou phishingového podvodu a zo svojej osobnej zbierky prišiel o NFT v hodnote viac ako 1.1 milióna dolárov. Rose potvrdil hack na svojom odkaze na Twitteri a pohľad na históriu transakcií Roseovej peňaženky na OpenSea odhalí rozsah hacku. Rose stratila niekoľko NFT, ako napríklad OnChainMonkeys, Squiggles a Cool Cats. Rose uviedla na Twitteri, 

„Práve ma hackli; zostaňte naladení na podrobnosti – prosím, nekupujte žiadne vlnovky, kým ich neoznačíme (práve stratili 25) + niekoľko ďalších NFT (autoglyf).

Rose však dokázal zachrániť svoje najcennejšie NFT tým, že ich uložil do samostatného trezoru. Tieto NFT zahŕňajú Zombie CryptoPunk (CryptoPunk #5066), z ktorých je len 87 ďalších NFT. Používatelia špekulovali, že príslušná peňaženka bola kompromitovaná, pretože Rose podpísala škodlivý balík námorných prístavov. Balík námorných prístavov umožňuje používateľom obchodovať s viacerými aktívami za iné položky rovnakej hodnoty. Rose zo svojej strany vyzval používateľov, aby sa vyhli nákupu Squiggle NFT, zatiaľ čo jeho tím pracoval na tom, aby boli označené ako ukradnuté. 

Podrobnosti o Hackovi 

Čoskoro sa objavili podrobnosti o tom, ako hack prebehol. Ukázalo sa, že hack sa s najväčšou pravdepodobnosťou odohral po tom, čo schválil škodlivý podpis, ktorý útočníkovi umožnil preniesť značný počet Roseových NFT z peňaženky. Analýza hacku odhalila, že útočníkovi sa podarilo odčerpať aspoň jeden Autoglyph, ktorý má minimálnu cenu 345 ETH, Chromie Squiggles, ktoré mali hodnotu približne 332.5 ETH, a deväť predmetov OnChainMonkey v hodnote približne 7.2 ETH. 

Viceprezident o PROOFArran Schlosberg, subjekt, ktorý stojí za zbierkou Moonbirds, rozpracoval tento hack na Twitteri a odhalil, že Rose bola obeťou phishingového zneužitia, ktoré ho oklamalo, aby podpísal škodlivý podpis a umožnilo útočníkovi ukradnúť predmetné NFT. 

„Začiatkom večera bol @kevinrose phishing, aby podpísal škodlivý podpis, ktorý umožnil hackerovi preniesť veľké množstvo tokenov vysokej hodnoty. Tu je rozpis toho, čo sa stalo, naša okamžitá reakcia a naše pokračujúce úsilie. Išlo o klasický kúsok sociálneho inžinierstva, ktorý priviedol KRO k falošnému pocitu bezpečia. Technický aspekt hacku bol obmedzený na vytváranie podpisov akceptovaných trhovou zmluvou OpenSea.

Kryptoanalytik foobar vysvetlil, že Rose schválil zmluvu na trhu OpenSea na presun všetkých svojich NFT vždy, keď podpísal transakciu, pričom uviedol, že Rose bola vždy o jeden zlomyseľný podpis ďaleko od katastrofy. Analytik dodal, že Rose mal utajiť svoj majetok v samostatnej peňaženke. 

„Presunutie aktív z vášho trezoru do samostatnej „predajnej“ peňaženky pred uvedením na trhoch NFT tomu zabráni.“

Škodlivý podpis umožnila zmluva na trhovisku námorných prístavov, ktorá, hoci je to výkonný nástroj, je tiež nebezpečná, ak používatelia nevedia, ako funguje. 

Ukradnuté aktíva na cestách

Foobar tiež odhalil, že ukradnuté aktíva boli ocenené vysoko nad ich minimálnou cenou, čo znamená, že strata mohla byť podstatne väčšia. On-chain kryptoanalytik ZachXBT sledoval ukradnuté aktíva a odhalil, že vykorisťovateľ poslal aktíva do FixedFloat, burzy na Bitcoin Lightning Network. Finančné prostriedky boli potom vymenené za BTC a vložené do bitcoinového mixéra. 

„Pred tromi hodinami bol Kevin phishing za 1.4 milióna dolárov a viac NFT. Dnes skôr ten istý podvodník ukradol 75 ETH inej obeti. Keď to zmapujeme, môžeme vidieť jasný trend posielania ukradnutých prostriedkov na FixedFloat a výmeny za BTC pred vkladom do bitcoinového mixéra.

Zakladateľ Bankless Ryan Sean Adams poukázal na jednoduchosť, s akou bola Rose využívaná, a vyzval inžinierov front-endu, aby zlepšili používateľskú skúsenosť.

Zrieknutie sa zodpovednosti: Tento článok je poskytovaný iba na informačné účely. Nie je ponúkané ani určené na použitie ako právne, daňové, investičné, finančné alebo iné poradenstvo.