OpenSea, neaizvietojams žetonu tirgus, ir kļuvis par uzlaušanas upuri galvenajā Discord kanālā. Pārkāpums ļāva draudu dalībniekiem publicēt viltus paziņojumus par partnerībām starp OpenSea un citiem projektiem.
Uzlauzts OpenSea Discord kanāls
OpenSea kopīgoja a screenshot 6. maijā, rādot viltus ziņas par partnerattiecībām. Ekrānuzņēmumā bija arī saite uz pikšķerēšanas vietni. Oficiālajā Twitter kontā OpenSea atbalstam tika ziņots, ka piektdienas rītā tika uzlauzts NFT tirgus Discord serveris. Uzņēmums pat izteica brīdinājumu lietotājiem, aicinot nesekot nevienai no kanālā ievietotajām saitēm.
Pirmajā hakera ierakstā bija iekļauts paziņojumu kanāls, kurā tika apgalvots, ka NFT tirgus ir "sadarbojies ar YouTube, lai viņu kopienu iekļautu NFT telpā". Uzņēmums arī paziņoja, ka publicēs naudas kalšanas karti ar OpenSea, lai ļautu īpašniekiem bez maksas izveidot savu NFT projektu.
Hakeris palika serverī ilgu laiku, pirms OpenSea varēja atgūt kontu. Tomēr hakeris jau bija iesaistījies vairākos mēģinājumos mudināt lietotājus reaģēt uz paziņojumu, iedvešot bailes palaist garām. Hakeris ievietoja papildu ziņas un apgalvoja, ka 70% no piedāvājuma ir izkalti.
Hakeris arī mēģināja ievilināt OpenSea lietotājus, sakot, ka YouTube piedāvās "ārprātīgas utilītas". Šie komunālie pakalpojumi tiks piešķirti tiem, kuri pieprasīja NFT. Viņi arī apgalvoja, ka piedāvājums būs unikāls un dalībai papildu kārtas nebūs nepieciešamas.
Ķēdes metrika atklāj, ka līdz šim ir apdraudēti 13 maki, un visvērtīgākais NFT, kas tika nozagts, bija Founders' Pass, kura vērtība ir 3.33 ētera, kas atbilst aptuveni 8900 USD.
Tīmekļa aizķeres, kas saistītas ar servera pārkāpumu
Pirmajos ziņojumos teikts, ka iebrucējs pieņēma Webhooks, lai piekļūtu servera vadīklām. Webhooks ir servera spraudņi, kas ļauj citai programmatūrai saņemt reāllaika informāciju. Tīmekļa aizķeres arvien vairāk tiek izmantotas kā hakeru uzbrukuma vektors, jo tie atvieglo ziņojumapmaiņu ar oficiālajiem servera kontiem.
Tīmekļa aizķeres ir izmantotas ne tikai, lai uzbruktu OpenSea nesaskaņu serverim, bet arī izmantotas, lai uzbruktu populārām NFT kolekcijām. Jahtklubs Bored Ape, KaijuKIngs un Doodles tika uzlauzti pagājušā mēneša sākumā pēc līdzīgas ievainojamības izmantošanas, kas ļāva hakeriem izmantot oficiālos servera kontus, lai publicētu pikšķerēšanas saites.
Jūsu kapitāls ir apdraudēts.
Lasīt vairāk:
Avots: https://insidebitcoins.com/news/opensea-discord-server-hacked-increasing-the-risk-of-phishing-scams