Kevin Rose, dyrektor generalny i założyciel Proof, padł ofiarą pozornego phishing ataku, a jego zhakowany portfel zawierał rzadkie NFT warte miliony.
Po kradzieży Rose współpracowała z OpenSea, aby upewnić się, że skradzionych NFT nie można sprzedać na jej rynku, ale nadal można je sprzedawać na innej platformie.
Mówi się, że jego portfel stracił w środę 40 NFT dane na rynku NFT OpenSea pokazujący, że aktywa zostały przekazane atakującemu portfel.
Rose potwierdził włamanie w późny czwartek ćwierkać, mówiąc, że wkrótce podzieli się szczegółami jako ostrzeżenie. Mógł stracić aktywa o wartości ponad 1.4 miliona dolarów, w tym NFT z kolekcji takich jak Autoglif, QQL Pass, Cool Cats, The Currency Damiena Hirsta, Admit One i OnChainMonkey, według nft teraz.
W Wątek na Twitterze, wiceprezes ds. inżynierii firmy Proof, Arran Schlosberg, wyjaśnił, co dokładnie się stało. Powiedział, że Rose została oszukana do podpisania złośliwego podpisu, który pozwolił hakerowi uzyskać dostęp do tokenów o wysokiej wartości.
Schlosberg nie wspomniał, co Rose myślał, że podpisuje, ale wydaje się, że ten pojedynczy błąd dał hakerowi dane uwierzytelniające jego portfel.
„To była klasyczna sztuczka inżynierii społecznej, która wprawiła KRO w fałszywe poczucie bezpieczeństwa. Techniczny aspekt włamania ograniczał się do tworzenia podpisów akceptowanych przez umowę rynkową OpenSea” – napisał Schlosberg.
Dodał, że aktywa Proof, które w większości wymagają wielu zezwoleń na dostęp, nie zostały naruszone.
OpenSea nie zwróciła prośby Blockworks o komentarz do czasu publikacji.
Problem phishingu NFT
Detektyw Blockchain ZachXBT twierdził, że ten sam haker, który przejął kontrolę nad NFT Rose, tego samego dnia ukradł 75 ETH (121,000 XNUMX USD) innej ofierze. Następnie haker rzekomo użył giełdy kryptowalut FixedFloat do konwersji skradzionych środków na bitcoiny, zanim przeniósł je do usługi miksowania bitcoinów w celu ukrycia pochodzenia środków.
Kolejny entuzjasta kryptowalut, który występuje na Twitterze pod pseudonimem „foobar”. zasugerował jak można było zapobiec takiemu włamaniu. Zalecili technikę znaną jako „silosowanie portfela”, która polega na segregacji różnych portfeli do różnych celów i trzymaniu cennych NFT z dala od wszelkich aktywnych gorących portfeli. Zablokowałoby to notowanie aktywów na rynkach NFT bez osobnej zgody na sprzedaż – utrata wygody, ale obrona przed pułapką, w którą wpadła Rose.
Korzystanie z rozszerzenia przeglądarki, takiego jak natura, który tłumaczy nieprzejrzysty kod inteligentnego kontraktu na rozpoznawalne działania, również dałby Rose wskazówkę, że coś pachnie rybą, zanim było za późno.
Ta historia została zaktualizowana 26 stycznia 2023 r. o 5:25 czasu wschodniego o dodatkowe szczegóły.
Codziennie wieczorem otrzymuj na swój e-mail najświeższe wiadomości i spostrzeżenia dotyczące kryptowalut. Zapisz się do bezpłatnego biuletynu Blockworks teraz.
Chcesz, aby alfa była wysyłana bezpośrednio do Twojej skrzynki odbiorczej? Zdobądź pomysły na handel degen, aktualizacje zarządzania, wydajność tokenów, tweety, których nie można przegapić i więcej Codzienne podsumowanie Blockworks Research.
Nie możesz się doczekać? Otrzymuj nasze wiadomości w najszybszy możliwy sposób. Dołącz do nas na Telegramie i śledź nas na wiadomości Google.
Źródło: https://blockworks.co/news/lessons-from-proof-founder-kevin-roses-1-4m-nft-phishing-experience