Стваральнік Moonbirds страціў 1 мільён долараў у NFT пасля эксплойта кашалька

Стваральнік калекцыі Moonbirds NFT Кевін Роўз страціў каля 1 мільёна долараў у NFT пасля таго, як стаў ахвярай эксплойта кашалька. 

Роўз страціла шэраг NFT, у тым ліку 25 Chronie Squiggles і Autoglyph NFT. Узлом пацвердзіў сам Роўз у сваім акаўнце ў Twitter. 

Страта ў мільён долараў 

Кевін Роўз, сузаснавальнік калекцыі Moonbirds NFT, стаў ахвярай фішынгавага махлярства, страціўшы NFT на суму больш за 1.1 мільёна долараў са сваёй асабістай калекцыі. Роўз пацвердзіў узлом у сваім твітэры, і зірнуўшы на гісторыю транзакцый кашалька Роўза на OpenSea, можна даведацца пра маштабы ўзлому. Роўз страціла некалькі NFT, такіх як OnChainMonkeys, Squiggles і Cool Cats. Роўз заявіла ў Twitter, 

«Мяне проста ўзламалі; сачыце за падрабязнасцямі - калі ласка, пазбягайце пакупкі завіваліц, пакуль мы не пазначым іх (толькі што страцілі 25) + некалькі іншых NFT (аўтагліф)».

Аднак Роўз змог выратаваць свае самыя каштоўныя NFT, захаваўшы іх у асобным сховішчы. Гэтыя NFT ўключаюць Zombie CryptoPunk (CryptoPunk #5066), з якіх існуе толькі 87 іншых NFT. Карыстальнікі выказалі здагадку, што кашалёк, пра які ідзе гаворка, быў скампраметаваны з-за таго, што Роўз падпісала пакет шкоднаснага марскога порта. Пакет марскога порта дазваляе карыстальнікам гандляваць некалькімі актывамі на іншыя прадметы аднолькавага кошту. Роўз, са свайго боку, заклікаў карыстальнікаў пазбягаць пакупкі Squiggle NFT, пакуль яго каманда працуе над тым, каб пазначыць іх як скрадзеныя. 

Дэталі ўзлому 

Неўзабаве сталі вядомыя падрабязнасці таго, як адбыўся ўзлом. Высветлілася, што ўзлом, хутчэй за ўсё, адбыўся пасля таго, як ён ухваліў шкоднасную подпіс, што дазволіла зламысніку перавесці значную колькасць NFT Роўза з кашалька. Аналіз узлому паказаў, што зламысніку ўдалося выцягнуць як мінімум адзін Autoglyph, мінімальная цана якога складае 345 ETH, Chromie Squiggles, якія каштавалі каля 332.5 ETH, і дзевяць прадметаў OnChainMonkey, якія каштавалі каля 7.2 ETH. 

Віцэ-прэзідэнт г PROOF, арганізацыя, якая стаіць за калекцыяй Moonbirds, Аран Шлосберг, расказаў пра ўзлом у Twitter, паказаўшы, што Роўз стаў ахвярай фішынгу, які прымусіў яго падпісаць шкоднасную подпіс і дазволіў зламысніку скрасці разгляданыя NFT. 

«Раней гэтым вечарам @kevinrose атрымаў фішынг, каб падпісаць шкоднасную подпіс, якая дазволіла хакеру перадаць вялікую колькасць каштоўных токенаў. Вось разбор таго, што адбылося, наша неадкладная рэакцыя і нашы пастаянныя намаганні. Гэта была класічная сацыяльная інжынерыя, якая падманула KRO у ілжывае пачуццё бяспекі. Тэхнічны аспект узлому быў абмежаваны стварэннем подпісаў, прынятых кантрактам на рынку OpenSea».

Крыптааналітык foobar растлумачыў, што Роўз зацвердзіў кантракт на рынку OpenSea для перамяшчэння ўсіх сваіх NFT кожны раз, калі ён падпісваў транзакцыі, заяўляючы, што Роўз заўсёды быў на адлегласці аднаго шкоднаснага подпісу ад катастрофы. Аналітык дадаў, што Роўз павінен быў захоўваць свае актывы ў асобным кашальку. 

«Перамяшчэнне актываў з вашага сховішча ў асобны кашалёк для «продажу» перад размяшчэннем на рынках NFT прадухіліць гэта».

Шкоднасная сігнатура была ўключана кантрактам на рынак марскога порта, які, хоць і з'яўляецца магутным інструментам, таксама небяспечны, калі карыстальнікі не ведаюць, як ён працуе. 

Выкрадзеныя актывы ў руху

Foobar таксама паказаў, што скрадзеныя актывы былі ацэненыя значна вышэй мінімальнай цаны, што азначае, што страты могуць быць значна большымі. Крыптааналітык ZachXBT у ланцужку адсачыў скрадзеныя актывы, выявіўшы, што эксплуататар адправіў актывы на FixedFloat, біржу ў Bitcoin Lightning Network. Затым сродкі былі пераведзены ў BTC і ўнесены ў біткойн-міксер. 

«Тры гадзіны таму Кевін атрымаў фішынг NFT на суму больш за 1.4 мільёна долараў. Раней сёння той жа махляр скраў 75 ETH у іншай ахвяры. Адлюстроўваючы гэта, мы бачым выразную тэндэнцыю адпраўкі скрадзеных сродкаў у FixedFloat і абмену на BTC перад унясеннем у міксер біткойнаў».

Заснавальнік Bankless Раян Шон Адамс адзначыў лёгкасць эксплуатацыі Rose і заклікаў інтэрфейсных інжынераў палепшыць карыстацкі досвед.

Адмова: Гэты артыкул прадастаўлены толькі ў інфармацыйных мэтах. Ён не прапануецца і не прызначаны для выкарыстання ў якасці юрыдычнай, падатковай, інвестыцыйнай, фінансавай ці іншай кансультацыі.