Ο Kevin Rose, ο Διευθύνων Σύμβουλος και ιδρυτής της Proof, έπεσε θύμα ενός προφανούς Phishing επίθεση, με το χακαρισμένο πορτοφόλι του να εκτιμάται ότι περιείχε σπάνια NFT αξίας εκατομμυρίων.
Μετά την κλοπή, η Rose συνεργάστηκε με την OpenSea για να διασφαλίσει ότι τα κλεμμένα NFT δεν μπορούν να πωληθούν στην αγορά της, αλλά μπορούν ακόμα να πωληθούν σε άλλη πλατφόρμα.
Το πορτοφόλι του λέγεται ότι έχασε 40 NFT την Τετάρτη, με ημερομηνία στην αγορά NFT OpenSea που δείχνει ότι τα περιουσιακά στοιχεία μεταφέρθηκαν στον εισβολέα πορτοφόλι.
Ο Ρόουζ επιβεβαίωσε το χακάρισμα αργά την Πέμπτη τιτίβισμα, λέγοντας ότι θα κοινοποιήσει λεπτομέρειες σύντομα ως προειδοποιητικό head-up. Μπορεί να έχει χάσει περιουσιακά στοιχεία άνω των 1.4 εκατομμυρίων δολαρίων, συμπεριλαμβανομένων των NFT από συλλογές όπως Αυτογλυφικό, QQL Pass, Cool Cats, Damien Hirst's The Currency, Admit One και OnChainMonkey, σύμφωνα με nft τώρα.
Σε Twitter νήμα, ο Αντιπρόεδρος Μηχανικής της Proof, Arran Schlosberg, κατέρριψε τι ακριβώς κατέρρευσε. Είπε ότι η Rose εξαπατήθηκε για να υπογράψει μια κακόβουλη υπογραφή που επέτρεπε στον χάκερ να αποκτήσει πρόσβαση σε μάρκες υψηλής αξίας.
Ο Schlosberg δεν ανέφερε τι πίστευε ότι υπέγραφε ο Rose, αλλά το μεμονωμένο λάθος φαίνεται να έδωσε στον χάκερ τα διαπιστευτήρια του πορτοφολιού του.
«Αυτό ήταν ένα κλασικό κομμάτι κοινωνικής μηχανικής, που ξεγελούσε τον KRO σε μια ψευδή αίσθηση ασφάλειας. Η τεχνική πτυχή του χακαρίσματος περιοριζόταν στη δημιουργία υπογραφών που ήταν αποδεκτές από τη σύμβαση αγοράς του OpenSea», έγραψε ο Schlosberg.
Πρόσθεσε ότι τα περιουσιακά στοιχεία της Proof, τα οποία χρειάζονται κυρίως πολλαπλές εγκρίσεις για πρόσβαση, δεν επηρεάστηκαν.
Το OpenSea δεν απάντησε το αίτημα της Blockworks για σχολιασμό μέχρι την ώρα του τύπου.
Το πρόβλημα του phishing NFT
Μπλοκ αλυσίδα ZachXBT ισχυρίστηκε ότι ο ίδιος χάκερ που ανέλαβε τον έλεγχο των NFT της Rose έκλεψε 75 ETH (121,000 $) από άλλο θύμα την ίδια μέρα. Στη συνέχεια, ο χάκερ φέρεται να χρησιμοποίησε το χρηματιστήριο κρυπτογράφησης FixedFloat για να μετατρέψει τα κλεμμένα κεφάλαια σε bitcoin, προτού τα μεταφέρει σε μια υπηρεσία μίξης bitcoin για να κρύψει την προέλευση των κεφαλαίων.
Ένας άλλος λάτρης της κρυπτογράφησης που ακούει στο όνομα «foobar» στο Twitter πρότειναν πώς θα μπορούσε να είχε αποτραπεί μια τέτοια αμυχή. Συνέστησαν μια τεχνική γνωστή ως «πορτοφόλι σιλό», η οποία περιλαμβάνει τον διαχωρισμό διαφορετικών πορτοφολιών για διαφορετικούς σκοπούς και τη διατήρηση πολύτιμων NFT μακριά από οποιαδήποτε ενεργά πορτοφόλια. Αυτό θα εμπόδιζε τα περιουσιακά στοιχεία από το να εισαχθούν σε αγορές NFT χωρίς χωριστή έγκριση πώλησης - απώλεια ευκολίας, αλλά μια άμυνα ενάντια στο είδος της παγίδας που έπεσε η Rose.
Χρήση επέκτασης προγράμματος περιήγησης όπως π.χ Φωτιά, που μεταφράζει τον αδιαφανή κώδικα έξυπνου συμβολαίου σε αναγνωρίσιμες ενέργειες, θα έδειχνε επίσης στη Ρόουζ ότι κάτι μύριζε ψάρι πριν να είναι πολύ αργά.
Αυτή η ιστορία ενημερώθηκε στις 26 Ιανουαρίου 2023, στις 5:25 π.μ. ET με επιπλέον λεπτομέρειες.
Λάβετε τα κορυφαία νέα και πληροφορίες για τα κρυπτονομίσματα της ημέρας που παραδίδονται στο email σας κάθε απόγευμα. Εγγραφείτε στο δωρεάν ενημερωτικό δελτίο της Blockworks τώρα.
Θέλετε το alpha να σταλεί απευθείας στα εισερχόμενά σας; Λάβετε ιδέες degen trade, ενημερώσεις διακυβέρνησης, απόδοση διακριτικών, tweets που δεν μπορείτε να χάσετε και πολλά άλλα από Ημερήσια ενημέρωση της Blockworks Research.
Δεν μπορώ να περιμένω; Λάβετε τα νέα μας με τον ταχύτερο δυνατό τρόπο. Ελάτε μαζί μας στο Telegram και ακολουθήστε μας στο ειδήσεις Google.
Πηγή: https://blockworks.co/news/lessons-from-proof-founder-kevin-roses-1-4m-nft-phishing-experience