Prywatna aukcja OpenSea zaalarmowana przez oszustów NFT

• Funkcja „sprzedaży bez gazu” OpenSea służyła jako kluczowa broń dla hakerów NFT. 
• Ofiary są zobowiązane do podpisania nieszkodliwej umowy, podobnej do podpisu logowania.

Największy Platforma handlowa NFT OpenSea użytkownicy byli narażeni na ryzyko związane z nowym włamaniem obejmującym funkcję w OpenSea za pośrednictwem stron phishingowych. Wraz ze wzrostem popularności tokenów niewymiennych (NFT) wzrosła aktywność oszustów, którzy często próbują wykorzystać użytkowników na rynku NFT. 

OpenSea ma funkcję o nazwie „sprzedaż bez gazu”, która pozwala użytkownikom sprzedawać NFT na podstawie umów poprzez podpisywanie nieczytelnych wiadomości. 23 grudnia Harpia, pierwsza zapora łańcuchowa zapobiegająca włamaniom. Zaalarmował użytkowników NFT za pośrednictwem tweeta o nowym ataku obejmującym sprzedaż bez gazu.

W jaki sposób witryna phishingowa przyciągała użytkowników?

Użytkownicy muszą zatwierdzić prośbę o podpis z nieczytelną wiadomością sprzedaż bezgazowa na platformie OpenSea. Ponadto użytkownicy mogą zezwalać na prywatne aukcje z nieczytelnymi podpisami za pomocą tej funkcji. Jednak aby wejść na stronę phishingową, ofiary muszą podpisać nieszkodliwą umowę, która jest podobna do „podpisu logowania”.

Według annoucementować, ten podpis logowania jest ofertą prywatnej sprzedaży NFT użytkowników za 0 ETH na adres hakera. Po podpisaniu przez użytkowników NFT, NFT byłyby przesyłane na adres portfela hakera.

Harpie stwierdził, że podpisy są często przedstawiane jako krok niezbędny do zalogowania się i uzyskania dostępu do strony internetowej. Harpie twierdzi, że wykorzystując funkcje OpenSea, hakerzy byli w stanie ukraść miliony zasobów cyfrowych. Później ekspert znalazł różnicę między prośbami oszustów a użytkownikami. 

Jednak Harpie wskazał również, w jaki sposób oszust rzekomo ukradł 14 Bored Ape NFT przy użyciu funkcji podpisu bez gazu 17 grudnia. Haker przeprowadził szeroko zakrojoną inżynierię społeczną, aby doprowadzić ofiarę do fałszywej strony internetowej NFT. I poproś posiadacza o podpisanie umowy. Następnie portfel ofiary został skradziony na wiele miliardów.