Прыватны аўкцыён OpenSea устрывожаны ашуканцамі NFT

• Функцыя «бесгазавых продажаў» OpenSea паслужыла найважнейшай зброяй для хакераў NFT. 
• Ахвяры павінны падпісаць бяскрыўдны кантракт, падобны на подпіс для ўваходу.

Найбуйнейшы Рынак NFT OpenSea карыстальнікі падвергліся рызыцы з-за новага ўзлому функцыі OpenSea праз фішынгавыя вэб-сайты. Па меры павелічэння папулярнасці незаменных токенаў (NFT) узрасла актыўнасць ашуканцаў, якія часта спрабуюць скарыстацца перавагамі карыстальнікаў на рынку NFT. 

OpenSea мае функцыю пад назвай «продажы без газу», якая дазваляе карыстальнікам прадаваць NFT праз кантракты, падпісваючы нечытэльныя паведамленні. 23 снежня г.г. Гарпія, першы міжсеткавы экран для прадухілення ўзломаў. Папярэдзіў карыстальнікаў NFT праз твіт аб новай атацы, звязанай з продажам без газу.

Як фішынг-сайт прыцягнуў карыстальнікаў?

Карыстальнікі павінны ўхваліць запыт на подпіс з нечытэльным паведамленнем бесгазавыя продажу на платформе OpenSea. Таксама карыстальнікі могуць дазволіць прыватныя аўкцыёны з нечытэльнымі подпісамі з дапамогай гэтай функцыі. Аднак, каб зайсці на фішынг-сайт, ахвяры павінны падпісаць бяскрыўдны кантракт, які падобны на «подпіс для ўваходу».

У адпаведнасці з годuцэмент, гэты подпіс для ўваходу з'яўляецца прапановай прыватна прадаць NFT карыстальнікаў за 0 ETH на адрас хакера. Пасля таго, як карыстальнікі NFT падпішуць яго, NFT будуць перададзены на адрас кашалька хакера.

Харпі заявіў, што подпісы часта прадстаўляюцца як крок, неабходны для ўваходу і доступу да вэб-сайта. Harpie сцвярджае, што, скарыстаўшыся асаблівасцю OpenSea, хакеры змаглі скрасці мільёны лічбавых актываў. Пазней эксперт выявіў розніцу паміж запытамі ашуканцаў і карыстальнікамі. 

Аднак Харпі таксама адзначыў, як 14 снежня махляр нібыта скраў 17 Bored Ape NFT, выкарыстоўваючы функцыю подпісу без газу. Хакер правёў шырокую сацыяльную інжынерыю, каб перавесці ахвяру на падроблены сайт NFT. І папытаеце ўладальніка падпісаць кантракт. Пасля гэтага кашалёк ахвяры быў скрадзены на шматмільярдныя сумы.