Ο Δημιουργός του Moonbirds χάνει 1 εκατομμύριο δολάρια σε NFT μετά την εκμετάλλευση του πορτοφολιού

Ο δημιουργός της συλλογής Moonbirds NFT, Kevin Rose, έχασε περίπου 1 εκατομμύριο δολάρια σε NFT αφού έπεσε θύμα εκμετάλλευσης πορτοφολιού. 

Η Rose έχασε μια σειρά από NFT, συμπεριλαμβανομένων 25 Chronie Squiggles και ένα Autoglyph NFT. Το hack επιβεβαιώθηκε από τον ίδιο τον Rose στον λογαριασμό του στο Twitter. 

Απώλεια ενός εκατομμυρίου δολαρίων 

Ο Kevin Rose, ο συνιδρυτής της συλλογής Moonbirds NFT, έπεσε θύμα απάτης phishing, χάνοντας NFT αξίας άνω του 1.1 εκατομμυρίου δολαρίων από την προσωπική του συλλογή. Ο Ρόουζ επιβεβαίωσε την εισβολή στη λαβή του στο Twitter και μια ματιά στο ιστορικό συναλλαγών για το πορτοφόλι της Ρόουζ στο OpenSea αποκαλύπτει την έκταση της εισβολής. Η Rose έχασε πολλά NFT, όπως τα OnChainMonkeys, Squiggles και Cool Cats. Η Ρόουζ δήλωσε στο Twitter, 

«Μόλις με χάκαραν. μείνετε συντονισμένοι για λεπτομέρειες – αποφύγετε να αγοράζετε κανένα squiggle μέχρι να τα επισημάνουμε (μόλις χάσαμε 25) + μερικά άλλα NFT (ένα αυτόγλυφο).

Ωστόσο, ο Rose μπόρεσε να σώσει τα πιο πολύτιμα NFT του κρατώντας τα σε ξεχωριστό θησαυροφυλάκιο. Αυτά τα NFT περιλαμβάνουν ένα Zombie CryptoPunk (CryptoPunk #5066), από τα οποία υπάρχουν μόνο 87 άλλα NFT. Οι χρήστες υπέθεσαν ότι το εν λόγω πορτοφόλι είχε παραβιαστεί επειδή η Ρόουζ υπέγραψε ένα κακόβουλο πακέτο θαλάσσιου λιμανιού. Μια δέσμη θαλάσσιων λιμένων επιτρέπει στους χρήστες να ανταλλάσσουν πολλαπλά περιουσιακά στοιχεία για άλλα στοιχεία της ίδιας αξίας. Ο Ρόουζ, από την πλευρά του, προέτρεψε τους χρήστες να αποφύγουν την αγορά Squiggle NFT ενώ η ομάδα του εργαζόταν για να επισημανθούν ως κλεμμένα. 

Λεπτομέρειες του The Hack 

Σύντομα προέκυψαν λεπτομέρειες για το πώς έγινε το hack. Αποκαλύφθηκε ότι το hack πιθανότατα έλαβε χώρα αφού ενέκρινε μια κακόβουλη υπογραφή, επιτρέποντας στον εισβολέα να μεταφέρει έναν σημαντικό αριθμό NFT της Rose από το πορτοφόλι. Μια ανάλυση του hack αποκάλυψε ότι ο εισβολέας κατάφερε να αφαιρέσει τουλάχιστον ένα Autoglyph, το οποίο έχει κατώτατη τιμή 345 ETH, Chromie Squiggles, που άξιζε περίπου 332.5 ETH και εννέα αντικείμενα OnChainMonkey, αξίας περίπου 7.2 ETH. 

Ο αντιπρόεδρος της PROOF, η οντότητα πίσω από τη συλλογή Moonbirds, ο Arran Schlosberg, επεξεργάστηκε το hack στο Twitter, αποκαλύπτοντας ότι ο Rose έπεσε θύμα ενός εκμεταλλεύματος phishing που τον εξαπάτησε να υπογράψει μια κακόβουλη υπογραφή και επέτρεψε στον εισβολέα να κλέψει τα εν λόγω NFT. 

«Νωρίτερα σήμερα το απόγευμα, ο @kevinrose δέχθηκε php για να υπογράψει μια κακόβουλη υπογραφή που επέτρεπε στον χάκερ να μεταφέρει μεγάλο αριθμό μάρκες υψηλής αξίας. Ακολουθεί μια ανάλυση του τι συνέβη, η άμεση απάντησή μας και οι συνεχείς προσπάθειές μας. Αυτό ήταν ένα κλασικό κομμάτι κοινωνικής μηχανικής, που ξεγέλασε τον KRO σε μια ψευδή αίσθηση ασφάλειας. Η τεχνική πτυχή του χακαρίσματος περιοριζόταν στη δημιουργία υπογραφών που ήταν αποδεκτές από το συμβόλαιο αγοράς του OpenSea.”

Ο αναλυτής κρυπτογράφησης foobar εξήγησε ότι ο Ρόουζ είχε εγκρίνει ένα συμβόλαιο στην αγορά OpenSea για να μετακινεί όλα τα NFT του κάθε φορά που υπέγραφε συναλλαγές, δηλώνοντας ότι ο Ρόουζ ήταν πάντα μια κακόβουλη υπογραφή μακριά από την καταστροφή. Ο αναλυτής πρόσθεσε ότι ο Ρόουζ θα έπρεπε να είχε σφραγίσει τα περιουσιακά του στοιχεία σε ξεχωριστό πορτοφόλι. 

"Η μεταφορά περιουσιακών στοιχείων από το θησαυροφυλάκιό σας σε ένα ξεχωριστό πορτοφόλι "πώλησης" πριν από την εισαγωγή σε αγορές NFT θα αποτρέψει αυτό."

Η κακόβουλη υπογραφή ενεργοποιήθηκε από το συμβόλαιο της αγοράς λιμανιού, το οποίο, ενώ είναι ισχυρό εργαλείο, είναι επίσης επικίνδυνο εάν οι χρήστες δεν γνωρίζουν πώς λειτουργεί. 

Κλεμμένα περιουσιακά στοιχεία εν κινήσει

Το Foobar αποκάλυψε επίσης ότι τα κλεμμένα περιουσιακά στοιχεία αποτιμήθηκαν πολύ πάνω από την κατώτατη τιμή τους, πράγμα που σημαίνει ότι η απώλεια θα μπορούσε να είναι σημαντικά μεγαλύτερη. Ο αναλυτής κρυπτογράφησης στην αλυσίδα ZachXBT παρακολούθησε τα κλεμμένα περιουσιακά στοιχεία, αποκαλύπτοντας ότι ο εκμεταλλευτής έστειλε τα περιουσιακά στοιχεία στο FixedFloat, μια ανταλλαγή στο Bitcoin Lightning Network. Στη συνέχεια, τα κεφάλαια ανταλλάχθηκαν σε BTC και κατατέθηκαν σε ένα μίκτη Bitcoin. 

«Πριν από τρεις ώρες, ο Kevin δέχθηκε phish για NFT αξίας 1.4 εκατομμυρίων $+. Νωρίτερα σήμερα, ο ίδιος απατεώνας έκλεψε 75 ETH από άλλο θύμα. Χαρτογραφώντας αυτό, μπορούμε να δούμε μια σαφή τάση αποστολής των κλεμμένων κεφαλαίων στο FixedFloat και ανταλλαγής για BTC πριν από την κατάθεση σε ένα μίκτη bitcoin."

Ο ιδρυτής της Bankless, Ryan Sean Adams, επεσήμανε την ευκολία με την οποία η Rose έγινε αντικείμενο εκμετάλλευσης και προέτρεψε τους μηχανικούς front-end να βελτιώσουν την εμπειρία χρήστη.

Αποποίηση ευθυνών: Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.