Kolekcjoner NFT traci 2.7 miliona dolarów na Bored Ape NFT i instrumentach pochodnych

Kolekcjoner NFT Larry Lawliet stracił siedem drogich Bored Apes i zestaw innych NFT w wyniku podejrzanego ataku socjotechnicznego w poniedziałek.

Sprawca wydawał się nakłonić Lawlieta do podpisania fałszywych transakcji, które dawały mu dostęp do jego NFT. Następnie wykorzystali ten dostęp do przeniesienia NFT do własnego portfela.

Lawliet wziął na Twitterze informujący, że atakujący ukradł 13 z jego NFT, w tym siedem znudzonych małp, pięć zmutowanych małp i jeden Doodle. W sumie strata Lawlieta wynosi 2.7 miliona dolarów w oparciu o minimalną cenę transakcji NFT skradzionych z jego portfela.

Jak to się stało

Kłopoty ofiary zaczęły się, gdy napastnik (prawdopodobnie ta sama osoba) zabrał kontrola serwera Discord innej kolekcji NFT o nazwie Moschi Mochi, aby opublikować fałszywe ogłoszenie o dodatkowej mennicy. Oszustwo polegało na zaproszeniu członków społeczności Moschi Mochi do wzięcia udziału w dodatkowej mennicy 1,000 NFT, aby mieć szansę na wygranie loterii o wartości 25,000 XNUMX $.

Spojrzenie na adres portfela Lawlieta na Etherscan pokazuje, że wszedł on w interakcję z fałszywą mennicą i wysłał 0.49 ETH w zamian za 14 fałszywych NFT. Bezpośrednio po przeniesieniu historia transakcji Lawliet zawiera liczne transakcje „zatwierdzenia zestawu”.

Wszystkie te transakcje zatwierdzenia zestawu miały ustawiony adres hakera „0xD27” jako zatwierdzony adres. Oznaczało to, że ofiara została oszukana i wywołała wywołanie „setApprovalForAll” podczas podpisywania tych transakcji przy użyciu własnego portfela.

NFT, które zostały skradzione. Obraz: Twitter.

Kluczową rzeczą jest tutaj to, że gdy ktoś zatwierdza transakcję blockchain za pośrednictwem przeglądarki w aplikacji, takiej jak MetaMask, nie zawsze jest jasne, jakie uprawnienia nadają witrynie. W tym przypadku ofiara zakładała, że ​​są to zwykłe transakcje, podczas gdy w rzeczywistości przekazywał kontrolę nad własnymi transakcjami NFT.

Istnieje jednak funkcja MetaMask, która pozwala użytkownikom dokładnie zbadać charakter ich transakcji przed ich wykonaniem. Ten krok obejmuje kliknięcie zakładki „szczegóły”, która następnie wyświetla szczegóły transakcji, w tym ważne informacje, takie jak przyznane adresy. Ale w gorączce o mennicę NFT inwestorzy nie zawsze mogą to sprawdzić.

To konkretne wywołanie umowy — setApprovalForAll — pozwoliło hakerowi zainicjować wywołanie umowy „transferFrom”, co umożliwiło mu przeniesienie wszystkich znudzonych małp ofiary do innego portfela. W programowaniu połączenie umożliwia użytkownikowi wykonanie kodu innej umowy, w tym przypadku możliwość przeniesienia NFT od ofiary do hakera.

Gdy atakujący uzyskał pozwolenie na kontrolowanie NFT ofiary, zaczął przenosić je do innego portfela. Haker był w stanie użyć tej metody, aby zabrać Bored Apes i inne NFT, w tym Mutant Apes i Doodles.

Możliwe środki zapobiegawcze

Właściciele popularnych kolekcji NFT, takich jak BAYC, nadal są celem ataków socjotechnicznych, których celem jest kradzież cennych NFT. W chwili pisania tego tekstu cena minimalna kolekcji wynosi ponad 118 ETH (320,000 XNUMX USD).

W odpowiedzi na takie incydenty eksperci ds. bezpieczeństwa zazwyczaj zalecają korzystanie z „portfelów palnikowych”, adresów zawierających tylko niewielką kwotę na pokrycie opłat za gaz. Tak więc, jeśli transakcja okaże się atakiem phishingowym, straty ofiary będą znacznie ograniczone.

Weryfikacja szczegółów transakcji przed zatwierdzeniem może być również przydatnym środkiem zapobiegawczym. Jako Tal Be'ery połóż to, zatwierdzenia powinny dotyczyć tylko „wiarygodnych kontraktów” o stosunkowo długiej historii transakcji. Portfele internetowe, takie jak MetaMask, pokazują szczegóły transakcji i mogą być przydatnym narzędziem do wykrywania ataków phishingowych.

© 2022 The Block Crypto, Inc. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.