- Funkce „bezplynového prodeje“ OpenSea sloužila jako klíčová zbraň pro hackery NFT.
- Oběti jsou povinny podepsat nezávadnou smlouvu, podobnou přihlašovacímu podpisu.
Největší NFT tržiště OpenSea uživatelé podstoupili riziko kvůli novému hacku zahrnujícímu funkci na OpenSea prostřednictvím phishingových webů. S rostoucí popularitou nezaměnitelných tokenů (NFT) se zvýšila aktivita podvodníků, kteří se často pokoušejí využít výhod uživatelů na trhu NFT.
OpenSea má funkci zvanou „prodej bez plynu“, která uživatelům umožňuje prodávat NFT prostřednictvím smluv podepisováním nečitelných zpráv. 23. prosince Lupič, první on-chain firewall, který zabraňuje hackům. Upozornil uživatele NFT prostřednictvím tweetu o novém útoku týkajícím se prodeje bez plynu.
Jak phishingový web přilákal uživatele?
Uživatelé musí schválit žádost o podpis s nečitelnou zprávou bezplynový prodej na platformě OpenSea. Pomocí této funkce mohou uživatelé také povolit soukromé aukce s nečitelnými podpisy. Aby však mohly vstoupit na phishingový web, musí oběti podepsat neškodnou smlouvu, která je podobná „přihlašovacímu podpisu“.
Podle annoucementování, tento přihlašovací podpis je nabídkou k soukromému prodeji NFT uživatelů za 0 ETH na adresu hackera. Jakmile to uživatelé NFT podepíší, budou NFT převedeny na adresu peněženky hackera.
Harpie uvedla, že podpisy jsou často prezentovány jako krok nezbytný k přihlášení a přístupu na web. Harpie tvrdí, že díky využití funkce OpenSea byli hackeři schopni ukrást miliony digitálních aktiv. Později odborník zjistil rozdíl mezi požadavky podvodníků a uživateli.
Harpie však také poukázala na to, jak podvodník 14. prosince údajně ukradl 17 Bored Ape NFT pomocí funkce podpisu bez plynu. Hacker provedl rozsáhlé sociální inženýrství, aby přivedl oběť na falešnou webovou stránku NFT. A nechat podepsat smlouvu s držitelem. Poté byla peněženka oběti ukradena v mnoha miliardách.
Zdroj: https://thenewscrypto.com/opensea-private-auction-alarmed-by-nft-scammers/