NFT kolekcionārs zaudē 2.7 miljonus USD Bored Ape NFT un atvasinātajos instrumentos

NFT kolekcionārs Lerijs Loliets pirmdien, iespējams, sociālās inženierijas uzbrukumā, zaudēja septiņus dārgus Bored Apes un virkni citu NFT.

Šķita, ka vainīgais ir mānījis Lolietu parakstīt viltotus darījumus, kas nodrošināja viņam piekļuvi viņa NFT. Pēc tam viņi izmantoja šo piekļuvi, lai pārsūtītu NFT uz savu maku.

Lawliet ņēma Twitter, norādot, ka uzbrucējs ir nozadzis 13 viņa NFT, tostarp septiņus garlaicīgi pērtiķus, piecus pērtiķu mutācijas un vienu svētku logotipu. Kopumā Lawliet zaudējumi ir 2.7 miljoni USD, pamatojoties uz no viņa maka nozagto NFT minimālo cenu.

Kā tas notika

Upura nepatikšanas sākās, kad uzbrucējs (iespējams, tā pati persona) paņēma kontrolēt citas NFT kolekcijas Moschi Mochi Discord servera, lai ievietotu viltus paziņojumu par papildu naudas kaltuvi. Krāpniecība bija saistīta ar Moschi Mochi kopienas locekļu uzaicināšanu piedalīties 1,000 NFT papildu naudas kaltuvē, lai iegūtu iespēju laimēt $25,000 XNUMX izlozē.

Apskatot Lawliet maka adresi vietnē Etherscan, redzams, ka viņš sazinājās ar viltotu naudas kaltuvi un nosūtīja 0.49 ETH apmaiņā pret 14 krāpnieciskiem NFT. Tūlīt pēc pārskaitījuma Lawliet darījumu vēsturē ir redzami daudzi “komplekta apstiprināšanas” darījumi.

Visiem šiem kopas apstiprināšanas darījumiem kā apstiprinātā adrese bija iestatīta hakera “0xD27” adrese. Tas nozīmēja, ka upuris tika pievilts piezvanīt “setApprovalForAll”, parakstot šos darījumus ar savu maku.

Nozagtie NFT. Attēls: Twitter.

Galvenais šeit ir tas, ka tad, kad kāds apstiprina blokķēdes darījumu, izmantojot lietotnes pārlūkprogrammu, piemēram, MetaMask, ne vienmēr ir skaidrs, kādas tieši atļaujas viņš piešķir vietnei. Šajā gadījumā cietušais uzskatīja, ka tie ir regulāri darījumi, lai gan patiesībā viņš izsniedza kontroli pār saviem NFT.

Tomēr MetaMask ir funkcija, kas ļauj lietotājiem pirms to izpildes pārbaudīt precīzu savu darījumu būtību. Šajā darbībā jānoklikšķina uz cilnes “detaļas”, kurā tiek parādīta informācija par darījumu, tostarp svarīga informācija, piemēram, adreses, kurām ir piešķirts apstiprinājums. Taču, steidzoties pēc NFT naudas kaltuves, investori to ne vienmēr var pārbaudīt.

Šis konkrētais līguma izsaukums — setApprovalForAll — ļāva hakeram uzsākt līguma zvanu “transferFrom”, kas ļāva pārsūtīt visus upura garlaikotos pērtiķus uz citu maku. Programmēšanā zvans ļauj lietotājam izpildīt cita līguma kodu, šajā gadījumā iespēju pārsūtīt NFT no upura hakeram.

Kad uzbrucējam bija atļauja kontrolēt upura NFT, viņi sāka tos pārvietot uz citu maku. Hakeris varēja izmantot šo metodi, lai uzņemtu garlaikotos pērtiķus un citus NFT, tostarp mutantu pērtiķus un svētku logotipus.

Iespējamie preventīvie pasākumi

Populāru NFT kolekciju, piemēram, BAYC, īpašnieki joprojām ir sociālās inženierijas uzbrukumu mērķi, kuru mērķis ir nozagt viņu vērtīgos NFT. Rakstīšanas laikā kolekcijas minimālā cena pārsniedz 118 ETH (320,000 XNUMX USD).

Reaģējot uz tādiem incidentiem kā šie, drošības eksperti parasti iesaka izmantot “degļu makus” — adreses, kurās ir tikai neliels līdzekļu apjoms, lai segtu gāzes maksas. Tādējādi, ja darījums ir pikšķerēšanas uzbrukums, upura zaudējumi tiks ievērojami ierobežoti.

Darījuma informācijas pārbaude pirms apstiprināšanas var būt arī noderīgs preventīvs pasākums. Kā Tal Be'ery nodod to, apstiprinājumi ir jāpiešķir tikai “uzticamiem līgumiem” ar salīdzinoši ilgu darījumu vēsturi. Tīmekļa maki, piemēram, MetaMask, parāda informāciju par darījumiem un var būt noderīgs rīks pikšķerēšanas uzbrukumu noteikšanai.

© 2022 The Block Crypto, Inc. Visas tiesības aizsargātas. Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridiskas, nodokļu, investīciju, finanšu vai citas konsultācijas.