Moonbirds NFT kolekcijas veidotājs Kevins Rouzs ir zaudējis aptuveni 1 miljonu ASV dolāru NFT pēc tam, kad kļuva par maka ļaunprātīgas izmantošanas upuri.
Rouzs zaudēja vairākus NFT, tostarp 25 Chronie Squiggles un Autoglyph NFT. Uzlaušanu savā Twitter kontā apstiprināja pats Rouzs.
Miljona dolāru zaudējumi
Kevins Rouzs, Moonbirds NFT kolekcijas līdzdibinātājs, ir kļuvis par pikšķerēšanas krāpniecības upuri, zaudējot vairāk nekā 1.1 miljonu ASV dolāru vērtu NFT no savas personīgās kolekcijas. Rouzs apstiprināja uzlaušanu savā Twitter rokturā, un, ieskatoties Rouza maka darījumu vēsturē OpenSea, atklājas uzlaušanas apmērs. Rouzs zaudēja vairākus NFT, piemēram, OnChainMonkeys, Squiggles un Cool Cats. Roze sociālajā tīklā Twitter paziņoja,
“Mani tikko uzlauza; Sekojiet līdzi informācijai — lūdzu, izvairieties no sviru pirkšanas, līdz tie tiks atzīmēti (tikko pazaudēti 25) + daži citi NFT (autoglifs).
Tomēr Rouzam izdevās saglabāt savus vērtīgākos NFT, glabājot tos atsevišķā glabātuvē. Šie NFT ietver Zombie CryptoPunk (CryptoPunk #5066), no kuriem ir tikai 87 citi NFT. Lietotāji spekulēja, ka attiecīgais maks ir apdraudēts, jo Rouzs parakstīja ļaunprātīgu jūras ostas komplektu. Jūras ostas komplekts ļauj lietotājiem tirgot vairākus aktīvus pret citiem tādas pašas vērtības priekšmetiem. Savukārt Rouzs mudināja lietotājus izvairīties no Squiggle NFT iegādes, kamēr viņa komanda strādāja pie tā, lai tie tiktu atzīmēti kā zagti.
Sīkāka informācija par Hack
Sīkāka informācija par to, kā notika uzlaušana, drīz parādījās. Tika atklāts, ka uzlaušana, visticamāk, notikusi pēc tam, kad viņš apstiprināja ļaunprātīgu parakstu, kas ļāva uzbrucējam pārvietot ievērojamu skaitu Rouza NFT no maka. Uzlaušanas analīze atklāja, ka uzbrucējam izdevās izsūknēt vismaz vienu Autoglyph, kura minimālā cena ir 345 ETH, Chromie Squiggles, kuru vērtība bija aptuveni 332.5 ETH, un deviņas OnChainMonkey preces, kuru vērtība ir aptuveni 7.2 ETH.
viceprezidents Pierādījums, Moonbirds kolekcijas autors Arrans Šlosbergs (Arran Schlosberg) sīkāk izklāstīja uzlaušanu vietnē Twitter, atklājot, ka Rouzs bija pikšķerēšanas izmantošanas upuris, kas viņu pievilināja parakstīt ļaunprātīgu parakstu un ļāva uzbrucējam nozagt attiecīgos NFT.
“Šajā vakarā @kevinrose tika pikšķerēts, lai parakstītu ļaunprātīgu parakstu, kas ļāva hakeram pārsūtīt lielu skaitu augstvērtīgu marķieru. Šeit ir sniegts notikušā sadalījums, mūsu tūlītējā reakcija un mūsu nepārtrauktie centieni. Tas bija klasisks sociālās inženierijas darbs, kas maldināja KRO viltus drošības sajūtu. Uzlaušanas tehniskais aspekts aprobežojās ar parakstu izveidi, kas tika pieņemts OpenSea tirgus līguma līgumā.
Kripto analītiķis Foobar paskaidroja, ka Rouzs ir apstiprinājis OpenSea tirgus līgumu, lai pārvietotu visus savus NFT ikreiz, kad viņš parakstīja darījumus, norādot, ka Rouzs vienmēr bija viena ļaunprātīga paraksta attālumā no katastrofas. Analītiķis piebilda, ka Rouzam savus aktīvus vajadzēja ievietot atsevišķā makā.
“To novērsīs, pārvietojot līdzekļus no glabātuves uz atsevišķu “pārdošanas” maku pirms iekļaušanas NFT tirgū.”
Ļaunprātīgo parakstu iespējoja jūras ostas tirgus līgums, kas, lai arī ir spēcīgs rīks, ir arī bīstams, ja lietotāji nezina, kā tas darbojas.
Nozagti līdzekļi kustībā
Foobar arī atklāja, ka nozagto īpašumu vērtība ir krietni virs zemākās cenas, kas nozīmē, ka zaudējumi varētu būt ievērojami lielāki. Ķēdes kriptovalūtu analītiķis ZachXBT izsekoja nozagtos īpašumus, atklājot, ka izmantotājs nosūtīja līdzekļus FixedFloat, Bitcoin Lightning tīkla biržai. Pēc tam līdzekļi tika apmainīti BTC un noguldīti Bitcoin mikserī.
“Pirms trīs stundām Kevinam tika pikšķerēts NFT vairāk nekā 1.4 miljonu dolāru vērtībā. Šodien tas pats krāpnieks citam upurim nozaga 75 ETH. Aplūkojot to, mēs varam redzēt skaidru tendenci nosūtīt nozagtos līdzekļus FixedFloat un apmainīt pret BTC pirms noguldīšanas bitcoin mikserī.
Bezbanku dibinātājs Raiens Šons Adamss norādīja uz to, cik viegli Rouzs tika izmantots, un mudināja priekšgala inženierus uzlabot lietotāju pieredzi.
Atruna: Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridisku, nodokļu, ieguldījumu, finanšu vai citu padomu.
Avots: https://cryptodaily.co.uk/2023/01/moonbirds-creator-loses-1-million-in-nfts-after-wallet-exploit