Moonbirds Creator ztrácí 1 milion $ v NFT po použití Wallet Exploit

Tvůrce kolekce Moonbirds NFT, Kevin Rose, ztratil přibližně 1 milion dolarů v NFT poté, co se stal obětí zneužití peněženky. 

Rose ztratila řadu NFT, včetně 25 Chronie Squiggles a Autoglyph NFT. Hack potvrdil sám Rose na svém twitterovém účtu. 

Ztráta milionů dolarů 

Kevin Rose, spoluzakladatel kolekce Moonbirds NFT, se stal obětí phishingového podvodu a ze své osobní sbírky přišel o více než 1.1 milionu dolarů NFT. Rose potvrdil hack na svém Twitteru a pohled na historii transakcí pro Roseinu peněženku na OpenSea odhalí rozsah hacku. Rose ztratil několik NFT, jako jsou OnChainMonkeys, Squiggles a Cool Cats. Rose uvedla na Twitteru, 

„Právě mě hackli; zůstaňte naladěni na podrobnosti – nekupujte prosím žádné klikyháky, dokud je neoznačíme (právě ztratili 25) + několik dalších NFT (autoglyf).

Rose však dokázal zachránit své nejcennější NFT tím, že je uložil do samostatného trezoru. Mezi tyto NFT patří Zombie CryptoPunk (CryptoPunk #5066), z nichž je pouze 87 dalších NFT. Uživatelé spekulovali, že dotyčná peněženka byla kompromitována, protože Rose podepsala škodlivý balíček námořních přístavů. Balíček námořních přístavů umožňuje uživatelům obchodovat více aktiv za jiné položky stejné hodnoty. Rose ze své strany naléhal na uživatele, aby se vyhýbali nákupu Squiggle NFT, zatímco jeho tým pracoval na tom, aby byly označeny jako odcizené. 

Podrobnosti o hacku 

Podrobnosti o tom, jak hack probíhal, se brzy objevily. Bylo odhaleno, že k hacknutí s největší pravděpodobností došlo poté, co schválil škodlivý podpis, který útočníkovi umožnil přenést značný počet Roseových NFT z peněženky. Analýza hacku odhalila, že útočníkovi se podařilo vysát alespoň jeden Autoglyph, který má minimální cenu 345 ETH, Chromie Squiggles, které měly hodnotu přibližně 332.5 ETH, a devět položek OnChainMonkey v hodnotě přibližně 7.2 ETH. 

Viceprezident společnosti PROOFentita stojící za sbírkou Moonbirds, Arran Schlosberg, rozvedl hack na Twitteru a odhalil, že Rose se stala obětí phishingového zneužití, které ho přimělo podepsat škodlivý podpis a umožnilo útočníkovi ukrást dotyčné NFT. 

„Dnes večer byl @kevinrose podvodně podepsán, aby podepsal škodlivý podpis, který umožnil hackerovi přenést velké množství tokenů vysoké hodnoty. Zde je rozpis toho, co se stalo, naše okamžitá reakce a naše pokračující úsilí. Jednalo se o klasický kus sociálního inženýrství, který přiměl KRO k falešnému pocitu bezpečí. Technický aspekt hacku byl omezen na vytváření podpisů akceptovaných smlouvou OpenSea na trhu.“

Kryptoanalytik foobar vysvětlil, že Rose schválil smlouvu na tržišti OpenSea, aby přesunul všechny své NFT, kdykoli podepsal transakce, a uvedl, že Rose byla vždy o jeden zákeřný podpis daleko od katastrofy. Analytik dodal, že Rose měl utajit svůj majetek v samostatné peněžence. 

„Přesun aktiv z vašeho trezoru do samostatné ‚prodejní‘ peněženky před uvedením na NFT tržištích tomu zabrání.“

Škodlivý podpis umožnila smlouva s tržištěm námořních přístavů, která, i když je to mocný nástroj, je také nebezpečná, pokud si uživatelé neuvědomují, jak funguje. 

Ukradený majetek na cestách

Foobar také odhalil, že odcizená aktiva byla oceněna výrazně nad jejich minimální cenou, což znamená, že ztráta mohla být podstatně vyšší. On-chain kryptoanalytik ZachXBT sledoval ukradená aktiva a odhalil, že vykořisťovatel poslal aktiva FixedFloat, burze na Bitcoin Lightning Network. Prostředky byly poté převedeny do BTC a vloženy do bitcoinového mixéru. 

„Před třemi hodinami byl Kevin phishing za více než 1.4 milionu $ NFT. Dříve dnes stejný podvodník ukradl 75 ETH jiné oběti. Když to zmapujeme, můžeme vidět jasný trend posílání ukradených prostředků na FixedFloat a výměny za BTC před vložením do bitcoinového mixéru.

Zakladatel Bankless Ryan Sean Adams poukázal na snadnost, s jakou byla Rose využívána, a vyzval přední inženýry, aby zlepšili uživatelskou zkušenost.

Zřeknutí se odpovědnosti: Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.