OpenSea, nezastupiteľný trh s tokenmi, sa stal obeťou hacknutia na svojom hlavnom kanáli Discord. Porušenie umožnilo aktérom hrozby zverejňovať falošné oznámenia o partnerstvách medzi OpenSea a inými projektmi.
Napadli kanál Discord spoločnosti OpenSea
OpenSea zdieľala a screenshot 6. mája ukazuje falošné správy o partnerstvách. Snímka obrazovky obsahovala aj odkaz na phishingovú webovú stránku. Oficiálny účet Twitter pre podporu OpenSea zverejnil, že server Discord pre trh NFT bol v piatok ráno narušený. Spoločnosť dokonca vydala varovanie pre používateľov a vyzvala ich, aby nenasledovali žiadny z odkazov uverejnených na kanáli.
Prvý príspevok od hackera obsahoval oznamovací kanál, v ktorom sa tvrdilo, že trh NFT „spolupracoval s YouTube, aby priviedol ich komunitu do priestoru NFT“. Spoločnosť tiež uviedla, že zverejní mincovný preukaz s OpenSea, ktorý držiteľom umožní raziť ich projekt NFT bez nákladov.
Hacker zostal na serveri dlho, kým OpenSea mohla obnoviť účet. Hacker sa však už niekoľkokrát pokúsil podnietiť používateľov, aby reagovali na oznámenie tým, že vyvolali strach z premeškania. Hacker uverejnil následné príspevky a tvrdil, že 70 % ponuky bolo vyrazených.
Hacker sa tiež pokúsil nalákať používateľov na OpenSea tým, že povedal, že YouTube ponúkne „šialené nástroje“. Tieto služby budú poskytnuté tým, ktorí si nárokovali NFT. Tvrdili tiež, že ponuka bude jedinečná a na účasť nebudú potrebné ďalšie kolá.
Metriky on-chain odhaľujú, že doteraz bolo napadnutých 13 peňaženiek a najcennejším NFT, ktorý bol ukradnutý, bol Founders' Pass v hodnote 3.33 éteru, čo zodpovedá približne 8900 USD.
Webhooky pripísané narušeniu servera
Prvé správy hovorili, že narušiteľ prijal Webhooky na prístup k ovládacím prvkom servera. Webhooky sú serverové doplnky, ktoré umožňujú inému softvéru prijímať informácie v reálnom čase. Webhooky získavajú čoraz väčšie využitie ako vektor útoku pre hackerov, pretože uľahčujú odosielanie správ s oficiálnymi účtami servera.
Webhooky sa nepoužili len na útok na server OpenSea discord, ale použili sa aj na útoky na populárne zbierky NFT. Jachtársky klub Bored Ape Yacht Club, KaijuKIngs a Doodles boli napadnuté začiatkom minulého mesiaca po tom, čo využili podobnú zraniteľnosť umožňujúcu hackerom používať oficiálne účty serverov na zverejňovanie phishingových odkazov.
Váš kapitál je ohrozený.
Prečítajte si viac:
Zdroj: https://insidebitcoins.com/news/opensea-discord-server-hacked-incresing-the-risk-of-phishing-scams