Учора ўвечары з'явіліся паведамленні аб тым, што калекцыянеры NFT губляюць NFT і Ethereum з кашалькоў. Цяпер OpenSea пацвердзіла, што тое, што адбылося, было а фішынгам, у выніку якога больш за 1.7 мільёна долараў актываў былі перанесены на шкоднасны кашалёк, цяпер пазначаны Fake_Phishing5169.
Шкоднасны кашалёк здзейсніў свае першыя транзакцыі яшчэ ў снежні, але паведамленні аб фішынгавай дзейнасці з'явіліся толькі ўчора. Гэты кашалёк таксама прыцягвае ўвагу іншы кашалёк які быў пазначаны як частка фішынгавай аферы OpenSea.
За апошнія 24 гадзіны былі перададзены шматлікія NFT з калекцый з высокімі мінімальнымі коштамі, напрыклад Сумна Ape Yacht Club NFT, Cool Cats, Doodles і Azuki NFT. Адрас Fake_Phishing5169 таксама праводзіў транзакцыі праз канкуруючыя маркетплейсы NFT Rarible і LooksRare.
NFT - гэта крыптаграфічна унікальныя токены, якія існуюць у блокчейне, напрыклад Эфириума. Кожны NFT звязаны з актывам, напрыклад выявай або відэа, што азначае права ўласнасці.
Праз некалькі гадзін пасля з'яўлення навін генеральны дырэктар OpenSea Дэвін Фінцэр сказаў: «Мы ўпэўненыя, што гэта была фішынгавая атака. Мы не ведаем, дзе адбыўся фішынг». Але кампанія лічыць, што атака адбылася не з дамена OpenSea і што ні законныя электронныя лісты OpenSea, ні банэр сайта OpenSea не прывялі да атакі.
«Чаканка, купля, продаж або размяшчэнне тавараў з дапамогай opensea.io не з'яўляецца пераносчыкам атакі. У прыватнасці, падпісанне новага смарт-кантракту (кантракт Wyvern 2.3) не з'яўляецца вектарам атакі», — сказаў Фінзер, таксама ўдакладніўшы, што інструмент міграцыі лістынга OpenSea не ўдзельнічаў у атацы.
«Мы актыўна працуем з карыстальнікамі, чые тавары былі скрадзеныя, каб звузіць набор агульных вэб-сайтаў, з якімі яны ўзаемадзейнічалі і якія маглі быць адказнымі за шкоднасныя подпісы», — дадаў ён.
Фінцэр сказаў, што, нягледзячы на перыядычныя паўзы ў дзейнасці зламысніка, OpenSea працягвае расследаванне сітуацыі. Ён таксама пацвердзіў, што тэма карыстальніка Twitter Neso з'яўляецца «паслядоўны» са сваім разуменнем таго, што адбылося. Несо сказаў, што тыя, хто страціў актывы, падпісалі палову сапраўднага віверны парадак, які ўяўляе сабой дэцэнтралізаваны пратакол абмену, які можа выконваць перадачы актываў.
Бачыў блытаніну наконт АС.
Зламыснік прымусіў людзей падпісаць палову сапраўднага загаду Wyvern, загад быў у асноўным пусты, за выключэннем мэты (кантракт зламысніка) і даных выкліку, зламыснік падпісвае другую палову загаду.
Незалежна ад крыніцы атакі, некаторыя збітыя з панталыку транзакцыямі. Напрыклад, навошта ашуканцам фішынг адправіць 50 Ethereum (132,597 XNUMX долараў) у naterivers.eth пасля таго, як забралі частку яго актываў, а затым вяртаючы іх? І чаму некаторыя адрасы прызначэння схаваныя Tornado Cash проксі, але некаторыя не?
Каб прадухіліць непажаданую страту токенаў NFT і Ethereum, лепш адклікаць доступ праз Etherscan Функцыя зацвярджэння токенаў і падумайце аб перамяшчэнні каштоўных актываў у апаратны кашалёк.
