Twórca Moonbirds traci 1 milion dolarów w NFT po wykorzystaniu portfela

Twórca kolekcji Moonbirds NFT, Kevin Rose, stracił około 1 miliona dolarów w NFT po tym, jak padł ofiarą luki w portfelu. 

Rose straciła kilka NFT, w tym 25 Chronie Squiggles i Autoglyph NFT. Włamanie zostało potwierdzone przez samego Rose'a na jego koncie na Twitterze. 

Strata miliona dolarów 

Kevin Rose, współzałożyciel kolekcji Moonbirds NFT, padł ofiarą oszustwa phishingowego, tracąc NFT o wartości ponad 1.1 miliona dolarów ze swojej osobistej kolekcji. Rose potwierdził włamanie na swoim koncie na Twitterze, a rzut oka na historię transakcji dla portfela Rose na OpenSea ujawnia skalę włamania. Rose straciła kilka NFT, takich jak OnChainMonkeys, Squiggles i Cool Cats. Rose napisała na Twitterze, 

„Właśnie zostałem zhakowany; czekaj na szczegóły – unikaj kupowania zawijasów, dopóki ich nie oznaczymy (właśnie zgubiliśmy 25) + kilka innych NFT (autoglif).

Jednak Rose był w stanie ocalić swoje najcenniejsze NFT, przechowując je w osobnym skarbcu. Te NFT obejmują Zombie CryptoPunk (CryptoPunk #5066), z których jest tylko 87 innych NFT. Użytkownicy spekulowali, że dany portfel został naruszony, ponieważ Rose podpisała złośliwy pakiet portów morskich. Pakiet portu morskiego umożliwia użytkownikom wymianę wielu zasobów na inne przedmioty o tej samej wartości. Rose ze swojej strony namawiał użytkowników, aby unikali kupowania Squiggle NFT, podczas gdy jego zespół pracował nad oznaczeniem ich jako skradzionych. 

Szczegóły włamania 

Wkrótce pojawiły się szczegóły dotyczące tego, jak doszło do włamania. Okazało się, że włamanie miało miejsce najprawdopodobniej po zatwierdzeniu złośliwego podpisu, umożliwiającego atakującemu przeniesienie znacznej liczby NFT Rose z portfela. Analiza włamania wykazała, że ​​atakującemu udało się odessać co najmniej jeden Autoglyph, którego cena minimalna wynosi 345 ETH, Chromie Squiggles, które były warte około 332.5 ETH, oraz dziewięć przedmiotów OnChainMonkey o wartości około 7.2 ETH. 

Wiceprezydent ds DOWÓD, podmiot stojący za kolekcją Moonbirds, Arran Schlosberg, rozwinął włamanie na Twitterze, ujawniając, że Rose była ofiarą exploita phishingowego, który skłonił go do podpisania złośliwego podpisu i pozwolił atakującemu ukraść przedmiotowe NFT. 

„Wcześniej tego wieczoru @kevinrose został wyłudzony w celu podpisania złośliwego podpisu, który umożliwił hakerowi przesłanie dużej liczby tokenów o wysokiej wartości. Oto zestawienie tego, co się stało, nasza natychmiastowa reakcja i nasze bieżące wysiłki. To była klasyczna sztuczka inżynierii społecznej, która wprawiła KRO w fałszywe poczucie bezpieczeństwa. Techniczny aspekt włamania ograniczał się do tworzenia podpisów akceptowanych przez umowę rynkową OpenSea”.

Analityk kryptowalut, foobar, wyjaśnił, że Rose zatwierdził umowę z OpenSea Marketplace, aby przenieść wszystkie swoje NFT za każdym razem, gdy podpisywał transakcje, stwierdzając, że Rose był zawsze o jeden złośliwy podpis od katastrofy. Analityk dodał, że Rose powinien był zamknąć swoje aktywa w oddzielnym portfelu. 

„Przeniesienie aktywów ze skarbca do oddzielnego portfela „sprzedaży” przed wystawieniem na rynkach NFT zapobiegnie temu”.

Złośliwa sygnatura została umożliwiona przez umowę Seaport Marketplace, która, choć jest potężnym narzędziem, jest również niebezpieczna, jeśli użytkownicy nie są świadomi, jak to działa. 

Skradzione aktywa w ruchu

Foobar ujawnił również, że skradzione aktywa były wycenione znacznie powyżej ich ceny minimalnej, co oznacza, że ​​strata może być znacznie większa. Analityk kryptograficzny on-chain, ZachXBT, wyśledził skradzione aktywa, ujawniając, że exploit wysłał je do FixedFloat, giełdy w Bitcoin Lightning Network. Środki zostały następnie zamienione na BTC i zdeponowane w mikserze Bitcoin. 

„Trzy godziny temu Kevin został wyłudzony w celu wyłudzenia NFT o wartości ponad 1.4 miliona dolarów. Wcześniej tego samego dnia ten sam oszust ukradł 75 ETH innej ofierze. Odwzorowując to, widzimy wyraźny trend wysyłania skradzionych środków do FixedFloat i wymiany na BTC przed wpłatą do miksera bitcoinów.”

Założyciel firmy Bankless, Ryan Sean Adams, zwrócił uwagę na łatwość, z jaką Rose była wykorzystywana, i wezwał inżynierów front-end do poprawy komfortu użytkowania.

Zastrzeżenie: ten artykuł służy wyłącznie do celów informacyjnych. Nie jest oferowana ani przeznaczona do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.