OpenSea privaatse oksjoni äratas NFT petturid

• OpenSea gaasivaba müügi funktsioon oli NFT häkkerite jaoks ülioluline relv. 
• Ohvrid peavad allkirjastama kahjutu lepingu, mis sarnaneb sisselogimisallkirjaga.

Suurima NFT turuplats OpenSea kasutajad sattusid andmepüügiveebisaitide kaudu OpenSea funktsiooni hõlmava uue häkkimise tõttu ohtu. Kuna nonfungible žetoonid (NFT-d) on muutunud populaarsemaks, on kasvanud petturite tegevus, kes üritavad sageli NFT-turul kasutajaid ära kasutada. 

OpenSeal on funktsioon nimega "gaasita müük", mis võimaldab kasutajatel müüa NFT-sid lepingute kaudu, allkirjastades loetamatuid sõnumeid. 23. detsembril Harpy, esimene ahelasisene tulemüür, mis takistab häkkimisi. Hoiatas NFT kasutajaid säutsu kaudu uuest rünnakust, mis hõlmab gaasivaba müüki.

Kuidas andmepüügiveebisait kasutajaid ligi meelitas?

Kasutajad peavad kinnitama allkirjapäringu koos loetamatu sõnumiga gaasivaba müük OpenSea platvormil. Samuti saavad kasutajad seda funktsiooni kasutades lubada loetamatute allkirjadega privaatseid oksjoneid. Andmepüügiveebisaidile sisenemiseks peavad ohvrid aga allkirjastama kahjutu lepingu, mis sarnaneb sisselogimisallkirjaga.

Vastavalt aastautsement, see sisselogimisallkiri on pakkumine müüa kasutajate NFT privaatselt 0 ETH eest häkkeri aadressile. Kui NFT kasutajad on selle allkirjastanud, kantakse NFT-d üle häkkeri rahakoti aadressile.

Harpie väitis, et allkirju esitatakse sageli sisselogimiseks ja veebisaidile pääsemiseks vajaliku sammuna. Harpie väidab, et OpenSea funktsiooni ära kasutades suutsid häkkerid varastada miljoneid digitaalseid varasid. Hiljem leidis ekspert erinevuse petturite taotluste ja kasutajate vahel. 

Kuid Harpie juhtis tähelepanu ka sellele, kuidas pettur varastas 14. detsembril väidetavalt 17 Bored Ape NFT-d, kasutades gaasivaba allkirja funktsiooni. Häkker viis ohvri võltsitud NFT veebisaidile viimiseks läbi ulatuslikke sotsiaalseid manipuleerimisi. Ja laske omaniku lepingul allkirjastada. Pärast seda varastati ohvri rahakott mitmes miljardis.