Кевін Роўз, генеральны дырэктар і заснавальнік Proof, стаў ахвярай відавочнага фішынгу атака, у яго ўзламаным кашальку, паводле ацэнак, захоўваліся рэдкія NFT на мільёны.
Пасля крадзяжу Роўз супрацоўнічаў з OpenSea, каб пераканацца, што выкрадзеныя NFT не могуць быць прададзены на яе рынку, але іх можна прадаць на іншай платформе.
Кажуць, што ў сераду яго кашалёк страціў 40 NFT, з gegevens на рынку NFT OpenSea, які паказвае, што актывы былі перададзены зламысніку папернік.
Роўз пацвердзіла ўзлом увечары ў чацвер цвыркаюць, сказаўшы, што хутка падзеліцца падрабязнасцямі ў якасці папярэджання. Магчыма, ён страціў актывы на суму больш за 1.4 мільёна долараў, уключаючы NFT з такіх калекцый, як Аўтагліф, QQL Pass, Cool Cats, The Currency Дэміена Херста, Admit One і OnChainMonkey, у адпаведнасці з nft зараз.
ў Twitter паток, віцэ-прэзідэнт Proof па тэхніцы Аран Шлосберг распавёў, што менавіта адбылося. Ён сказаў, што Роўз падманам прымусілі падпісаць шкоднасную подпіс, якая дазволіла хакеру атрымаць доступ да каштоўных токенаў.
Шлосберг не згадаў, што, на думку Роўза, ён падпісваў, але адзіны памылковы крок, здаецца, даў хакеру ўліковыя дадзеныя для кашалька.
«Гэта была класічная сацыяльная інжынерыя, якая прымусіла KRO стварыць ілжывае пачуццё бяспекі. Тэхнічны аспект узлому быў абмежаваны распрацоўкай подпісаў, прынятых кантрактам OpenSea на рынку», — напісаў Шлосберг.
Ён дадаў, што актывы Proof, якія ў асноўным маюць патрэбу ў некалькіх дазволах для доступу, не былі закрануты.
OpenSea не адказаў на запыт Blockworks аб каментарыі да часу прэсы.
Праблема фішынгу NFT
Вышук блокчейна ZachXBT сцвярджаў, што той жа хакер, які ўзяў пад кантроль NFT Rose, у той жа дзень скраў 75 ETH (121,000 XNUMX долараў) у іншай ахвяры. Затым хакер нібыта выкарыстаў крыпта-біржу FixedFloat для канвертавання скрадзеных сродкаў у біткойны, перш чым перавесці іх у службу міксавання біткойнаў, каб схаваць паходжанне сродкаў.
Яшчэ адзін крыпта-энтузіяст, які носіць назву «foobar» у Twitter прапанаваны як можна было прадухіліць такі ўзлом. Яны рэкамендавалі тэхніку, вядомую як «размяшчэнне кашалькоў», якая прадугледжвае аддзяленне розных кашалькоў для розных мэтаў і захаванне каштоўных NFT далей ад любых актыўных гарачых кашалькоў. Гэта заблакуе актывы ад размяшчэння на рынках NFT без асобнага дазволу на продаж — страта зручнасці, але абарона ад такой пасткі, у якую трапіла Роўз.
Выкарыстанне пашырэння браўзера, напрыклад Пажар, які пераўтворыць непразрысты код смарт-кантракту ў пазнавальныя дзеянні, таксама паведаміў бы Роўз, што нешта пахне рыбай, пакуль не стала занадта позна.
Гэтая гісторыя была абноўлена 26 студзеня 2023 г. у 5:25 па ўсходнім часе з дадатковымі падрабязнасцямі.
Кожны вечар атрымлівайце на вашу электронную пошту галоўныя навіны дня і інфармацыю пра крыптаграфію. Падпішыцеся на бясплатную рассылку ад Blockworks цяпер.
Хочаце, каб альфа-версія была адпраўлена непасрэдна ў вашу паштовую скрыню? Атрымлівайце ад Штодзённае падвядзенне вынікаў Blockworks Research.
Не магу дачакацца? Атрымлівайце нашы навіны самым хуткім спосабам. Далучайцеся да нас у Telegram і вынікайце за намі на Google News.
Крыніца: https://blockworks.co/news/lessons-from-proof-founder-kevin-roses-1-4m-nft-phishing-experience