Moonbirdsi looja kaotab pärast rahakoti ärakasutamist NFT-des miljon dollarit

Moonbirdsi NFT-kollektsiooni looja Kevin Rose on rahakoti ärakasutamise ohvriks langenud NFT-de näol kaotanud umbes miljon dollarit. 

Rose kaotas mitu NFT-d, sealhulgas 25 Chronie Squigglesi ja Autoglyph NFT-d. Häkkimist kinnitas Rose ise oma Twitteri kontol. 

Miljoni dollari kaotus 

Moonbirdsi NFT-kollektsiooni kaasasutaja Kevin Rose on langenud andmepüügipettuse ohvriks, kaotades oma isiklikust kogust enam kui 1.1 miljoni dollari väärtuses NFT-sid. Rose kinnitas häkkimist oma Twitteri käepidemel ja kui heita pilk Rose'i rahakoti tehinguajaloole OpenSeas, selgub häkkimise ulatus. Rose kaotas mitu NFT-d, nagu OnChainMonkeys, Squiggles ja Cool Cats. Rose teatas Twitteris, 

“Mind lihtsalt häkiti; Olge üksikasjadega kursis – vältige squiggle'ide ostmist, kuni oleme need märgistatud (äsja kaotatud 25) + mõned muud NFT-d (autoglüüf).

Rose suutis siiski päästa oma kõige väärtuslikumad NFT-d, hoides neid eraldi varahoidlas. Need NFT-d sisaldavad Zombie CryptoPunki (CryptoPunk #5066), millest on ainult 87 muud NFT-d. Kasutajad spekuleerisid, et kõnealune rahakott sattus ohtu, kuna Rose allkirjastas pahatahtliku sadamapaketi. Meresadama komplekt võimaldab kasutajatel kaubelda mitu vara teiste sama väärtusega esemete vastu. Rose omalt poolt kutsus kasutajaid üles vältima Squiggle'i NFT-de ostmist, samal ajal kui tema meeskond töötas selle nimel, et need varastatuks märgitaks. 

Hacki üksikasjad 

Peagi selgusid üksikasjad selle kohta, kuidas häkkimine toimus. Selgus, et häkkimine leidis tõenäoliselt aset pärast seda, kui ta kiitis heaks pahatahtliku allkirja, mis võimaldas ründajal kanda rahakotist välja märkimisväärne hulk Rose'i NFT-sid. Häkkimise analüüs näitas, et ründajal õnnestus välja tõmmata vähemalt üks Autoglyph, mille alamhind on 345 ETH, Chromie Squiggles, mille väärtus oli umbes 332.5 ETH, ja üheksa OnChainMonkey eset, mille väärtus on umbes 7.2 ETH. 

Asepresident TÕENDAGE, kirjeldas Moonbirdsi kollektsiooni taga olev isik Arran Schlosberg Twitteris häkkimist, paljastades, et Rose langes andmepüügi ohvriks, mis meelitas teda pahatahtlikule allkirjale alla kirjutama ja võimaldas ründajal kõnealused NFT-d varastada. 

"Varem täna õhtul püüti @kevinrose'i andmepüügiga alla kirjutada pahatahtlikule allkirjale, mis võimaldas häkkeril edastada suure hulga kõrge väärtusega žetoone. Siin on juhtunu jaotus, meie kohene reageerimine ja meie jätkuvad jõupingutused. See oli klassikaline sotsiaalse inseneritöö, mis tekitas KRO-l vale turvatunde. Häkkimise tehniline aspekt piirdus OpenSea turulepinguga aktsepteeritud allkirjade koostamisega.

Krüptoanalüütik foobar selgitas, et Rose kiitis heaks OpenSea turuplatsi lepingu, et teisaldada kõik oma NFT-d, kui ta tehinguid allkirjastab, väites, et Rose oli alati katastroofist ühe pahatahtliku allkirja kaugusel. Analüütik lisas, et Rose oleks pidanud oma varad eraldi rahakotti panema. 

„Seda hoiab ära varade teisaldamine varahoidlast eraldi „müügi” rahakotti enne NFT-turgudel noteerimist.”

Pahatahtliku allkirja võimaldas meresadama turu leping, mis on küll võimas tööriist, kuid samas ohtlik, kui kasutajad pole selle toimimisest teadlikud. 

Varastatud vara liikvel

Foobar paljastas ka, et varastatud varade väärtus oli tunduvalt kõrgem kui nende alamhind, mis tähendab, et kahju võib olla tunduvalt suurem. Ahelasisene krüptoanalüütik ZachXBT jälgis varastatud varasid, paljastades, et ärakasutaja saatis varad Bitcoin Lightning Networki börsile FixedFloat. Seejärel vahetati raha BTC-ks ja deponeeriti Bitcoini mikserisse. 

„Kolm tundi tagasi püüti Kevinilt 1.4 miljoni dollari väärtuses NFT-sid andmepüügilt. Täna varastas sama pettur teiselt ohvrilt 75 ETH-d. Seda kaardistades näeme selget suundumust, et varastatud raha saadetakse FixedFloati ja vahetatakse enne bitcoini mikserisse deponeerimist BTC vastu.

Pangavaba asutaja Ryan Sean Adams juhtis tähelepanu Rose'i ärakasutamise lihtsusele ja kutsus esiotsa insenere üles kasutajakogemust parandama.

Kohustustest loobumine: see artikkel on ette nähtud ainult teavitamise eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- või muu nõuandena.