Az NFT piactér nemrég észlelte, hogy a privát aukció funkciót a hackerek ki tudják használni, hogy megszerezzék az áldozataik NFT-it.
Ahogyan az NFT-szektor népszerűsége egyre növekszik, úgy találnak a rosszindulatú szereplők is újabb és újabb módokat az óvatlanok becsapására.
Egy új módszer alkalmazásával adathalász oldalakat tudnak létrehozni, és ezek segítségével tokeneket lopni.
A Harpie, egy lopásvédelemmel foglalkozó projekt nemrégiben hirdette ki, hogy új elkövetési módszert azonosítottak, amely az OpenSea gas-mentes eladási funkcióját használja ki.
A bejelentés szerint a hackerek mostanra már sok millió dollár értékű tokent tudtak ellopni a hiba kihasználásával.
Mikor egy felhasználó gas-díj nélkül szeretné eladni az NFT-it az OpenSea-n, akkor ehhez alá kell írniuk a privát kulcsukkal egy tranzakciót, de ennek a részleteit nem lehet elolvasni.
Ez teszi lehetővé, hogy az eladók úgymond privát aukciót indítsanak el, és az ehhez szükséges tranzakció aláírását ne lehessen visszafejteni.
Hackers have been able to steal NFTs like magic with a little-known OpenSea feature. It's the newest hack, and multiple millions in Apes have been lost to it already.
(🧵1/4) pic.twitter.com/fTK20WQrgh
— Harpie (@harpieio) December 22, 2022
Emiatt viszont a támadók is elkezdték ezt a módszert használni, hogy adathalász, hamis weboldalakra csábítsák a felhasználókat.
A Harpie elmondása szerint ilyenkor az aláírási folyamatot úgy állítják be, mintha szükséges lenne az oldalra való belépéshez.
Mivel azonban az aláírt üzenetet nem lehet elolvasni, így a támadók bele tudják írni a rosszindulatú kódokat is.
Így mikor a felhasználó aláírja a tranzakciót, valójában ahhoz járul hozzá, hogy egy privát aukciót indít el, a támadó Ethereum-címére, nulla ETH-s vételárral az adott NFT esetén.
Mikor pedig ezt a felhasználó elfogadja, rákattint az aláírásra, a szerződés átküldi a tokent a csaló címére.
A CertiK, egy blokklánc-biztonsággal foglalkozó vállalkozás is kiadott a közelmúltban egy figyelmeztetést. Ők úgy találták, hogy egyre nagyobb arányban tűnik fel az úgynevezett „ice phishing” néven ismert csalás.
Karácsonyi kuponkód 15% kedvezmény: KaracsonyKw
Ez úgy működik, hogy a különböző web3-as protokollok használatához a szükséges aláírások közé olyant is elrejtenek, amely lehetővé teszi a támadónak, hogy elköltse az aláíró tárcájában lévő tokeneket.
A CertiK szerint ez a fajta támadás kifejezetten a kriptoipar specialitása, és rendkívül nagy jelentőségű veszélyfaktort képvisel.
December 17-én egy elemző megosztott egy esetet, amely során egy csaló az OpenSea gas-mentes funkcióját kihasználva állítólag 14 BAYC tokent tudott ellopni.
Ennek a végrehajtásához az áldozatot először behálózta a social engineering néven ismert módszerrel, azaz online összebarátkozott vele, majd egy hamis NFT platformra irányítva rávette, hogy a tárcájával aláírjon egy engedélykérelmet, tranzakciót.
Az aláírással viszont megszerezte a jogosultságot, hogy az áldozat tárcájából ki tudja utalni az abban található tokeneket.
Olvastad már? Az OpenSea blokkolja a kubai művészeket a platformról
Forrás: cointelegraph.com
SZERETNÉD MEGKAPNI LEGFRISSEBB HÍREINKET? IRATKOZZ FEL HÍRLEVELÜNKRE!