NFT kollektsionäär Larry Lawliet kaotas esmaspäeval kahtlustatava sotsiaalse manipuleerimise rünnaku tõttu seitse kallist Bored Apes'i ja rea muid NFT-sid.
Paistis, et kurjategija pettis Lawlietit, et ta allkirjastaks võltsitud tehingud, mis andsid neile juurdepääsu tema NFT-dele. Seejärel kasutasid nad seda juurdepääsu NFT-de ülekandmiseks oma rahakotti.
Lawliet võttis Twitterile, öeldes, et ründaja varastas 13 tema NFT-d, sealhulgas seitse igavlevat ahvi, viis mutantahvi ja üks Doodle. Kokku on Lawlieti kahjum 2.7 miljonit dollarit, võttes aluseks tema rahakotist varastatud NFT-de alamhinna.
Kuidas see juhtus
Ohvri mured said alguse siis, kui ründaja (tõenäoliselt sama isik) võttis kontrollida teise NFT kollektsiooni nimega Moschi Mochi Discordi serverist, et postitada võltsitud teade täiendava rahapaja kohta. Pettuse käigus kutsuti Moschi Mochi kogukonna liikmeid osalema 1,000 NFT suuruses lisarahas, et võita 25,000 XNUMX dollari suurune loosimine.
Pilk Lawlieti rahakoti aadressile Etherscanis näitab, et ta suhtles võltsitud rahapajaga ja saatis 0.49 ETH vastutasuks 14 kelmuse NFT eest. Kohe pärast ülekannet näitab Lawlieti tehinguajalugu arvukalt "kinnitatud kinnitamise" tehinguid.
Kõigil nende komplekti kinnitustehingute puhul oli kinnitatud aadressiks määratud häkkeri aadress "0xD27". See tähendas, et nende tehingute allkirjastamisel oma rahakotiga peeti ohver helistama "setApprovalForAll" kõnele.
Varastatud NFT-d. Pilt: puperdama.
Oluline on siin see, et kui keegi kiidab heaks plokiahela tehingu rakendusesisese brauseri (nt MetaMask) kaudu, ei ole alati selge, milliseid õigusi ta veebisaidile annab. Antud juhul eeldas ohver, et tegemist on tavaliste tehingutega, kuigi tegelikult loovutas ta kontrolli oma NFT-de üle.
Siiski on MetaMaskis funktsioon, mis võimaldab kasutajatel enne tehingute sooritamist oma tehingute täpset olemust uurida. See samm hõlmab vahekaardil „Üksikasjad” klõpsamist, mis kuvab seejärel tehingu üksikasjad, sealhulgas olulise teabe, nagu aadressid, millele antakse kinnitus. Kuid NFT rahapaja kiirustamise ajal ei pruugi investorid seda alati kontrollida.
See konkreetne lepingukõne – setApprovalForAll – võimaldas häkkeril algatada lepingukõne "transferFrom", mis võimaldas neil kanda kõik ohvri igavad inimahvid teise rahakotti. Programmeerimisel võimaldab kõne kasutajal täita teise lepingu koodi, antud juhul võimalust NFT-d ohvrilt häkkerile üle kanda.
Kui ründajal oli luba ohvri NFT-sid juhtida, hakkasid nad neid teise rahakotti teisaldama. Häkker suutis seda meetodit kasutada igavate inimahvide ja muude NFT-de, sealhulgas mutant-ahvide ja Doodle'ide hõivamiseks.
Võimalikud ennetusmeetmed
Populaarsete NFT-kollektsioonide, nagu BAYC, omanikud on jätkuvalt sotsiaalse manipuleerimise rünnakute sihtmärgid, mille eesmärk on varastada nende väärtuslikke NFT-sid. Artikli kirjutamise seisuga on kollektsiooni alamhind üle 118 ETH (320,000 XNUMX dollarit).
Vastuseks sellistele vahejuhtumitele soovitavad turvaeksperdid üldiselt kasutada "põletirahakotte", aadresse, mis sisaldavad vaid väikest summat gaasitasude katmiseks. Seega, kui tehing juhtub olema andmepüügirünnak, on ohvri kahju oluliselt piiratud.
Tehingu üksikasjade kontrollimine enne kinnitamist võib samuti olla kasulik ennetav meede. Nagu Tal Be'ery pane see, peaksid kinnitused andma ainult suhteliselt pika tehinguajalooga usaldusväärsetele lepingutele. Veebirahakotid, nagu MetaMask, näitavad tehingute üksikasju ja võivad olla kasulikud tööriistad andmepüügirünnakute tuvastamisel.
© 2022 The Block Crypto, Inc. Kõik õigused kaitstud. See artikkel on esitatud ainult informatiivsel eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- ega muu nõuandena.
Allikas: https://www.theblockcrypto.com/post/132567/nft-collector-loses-2-7-million-in-bored-ape-nfts-and-derivatives?utm_source=rss&utm_medium=rss