OpenSea, mittevahetatav žetoonide turg, on saanud oma põhikanali Discordi häkkimise ohvriks. Rikkumine on võimaldanud ohus osalejatel postitada võltsitud teateid OpenSea ja muude projektide vahelise partnerluse kohta.
OpenSea Discordi kanalit häkiti
OpenSea jagas a pilt 6. mail näidates võltsuudiseid partnerluste kohta. Ekraanipilt sisaldas ka linki andmepüügi veebisaidile. OpenSea toe ametlikul Twitteri kontol postitati, et reede hommikul rikuti NFT turu Discordi serverit. Ettevõte andis kasutajatele isegi hoiatuse, kutsudes üles mitte jälgima ühtegi kanalile postitatud linki.
Häkkeri esimene postitus sisaldas teadaandekanalit, milles väideti, et NFT turg oli "partneriks YouTube'iga, et tuua nende kogukond NFT ruumi". Ettevõte teatas ka, et avaldab OpenSeaga rahapaja passi, mis võimaldab omanikel oma NFT-projekti tasuta vermida.
Häkker jäi serverisse pikaks ajaks, enne kui OpenSea suutis konto taastada. Häkker oli aga juba teinud mitmeid katseid panna kasutajaid teatele reageerima, sisendades hirmu vahelejäämise ees. Häkker postitas järelpostitusi ja väitis, et 70% pakkumisest oli vermitud.
Häkker püüdis ka OpenSea kasutajaid meelitada, öeldes, et YouTube pakub hullumeelseid utiliite. Need kommunaalteenused antakse neile, kes nõudsid NFT-sid. Samuti väitsid nad, et pakkumine on ainulaadne ja osalemiseks pole vaja täiendavaid voore.
Ketisisesed mõõdikud näitavad, et seni on ohtu sattunud 13 rahakotti ja kõige väärtuslikum varastatud NFT oli Founders' Pass, mille väärtus oli 3.33 eetrit, mis võrdub umbes 8900 dollariga.
Serveri rikkumisele omistatud veebihaagid
Esimestes aruannetes öeldi, et sissetungija võttis serveri juhtelementidele juurdepääsemiseks kasutusele Webhooksi. Veebihaagid on serveri pistikprogrammid, mis võimaldavad muul tarkvaral reaalajas teavet vastu võtta. Veebihaake kasutatakse häkkerite rünnakuvektorina üha enam, kuna need hõlbustavad ametlike serverikontodega sõnumivahetust.
Veebihaake pole kasutatud mitte ainult OpenSea discord-serveri ründamiseks, vaid neid on kasutatud ka populaarsete NFT-kogude ründamiseks. Bored Ape Yacht Club, KaijuKIngs ja Doodles rikuti eelmise kuu alguses pärast sarnase haavatavuse ärakasutamist, mis võimaldas häkkeritel kasutada andmepüügilinkide avaldamiseks ametlikke serverikontosid.
Teie kapital on ohus.
Loe rohkem:
Allikas: https://insidebitcoins.com/news/opensea-discord-server-hacked-increasing-the-risk-of-phishing-scams