Колектор NFT втрачає 2.7 мільйона доларів у Bored Ape NFT і деривативах

Колекціонер NFT Ларрі Лолієт втратив сім дорогих Bored Apes і набір інших NFT через підозрювану атаку соціальної інженерії в понеділок.

Здавалося, зловмисник обманом змусив Лоліта підписати фальшиві транзакції, які надали їм доступ до його NFT. Потім вони скористалися цим доступом для перенесення NFT на свій власний гаманець.

Lawliet прийняли у Twitter повідомив, що 13 його NFT були вкрадені зловмисником, у тому числі сім Bored Apes, п'ять Mutant Apes і один Doodle. Загалом збитки Лолієта становлять 2.7 мільйона доларів на основі мінімальної ціни NFT, викрадених з його гаманця.

Як це сталося

Неприємності жертви почалися з того, що зловмисник (ймовірно, та сама людина). контроль сервера Discord іншої колекції NFT під назвою Moschi Mochi, щоб опублікувати фейкове оголошення про додатковий монетний двір. Шахрайство передбачало запрошення членів спільноти Moschi Mochi взяти участь у додатковій монеті з 1,000 NFT, щоб отримати шанс виграти лотерею в розмірі 25,000 XNUMX доларів.

Погляд на адресу гаманця Лолієта на Etherscan показує, що він взаємодіяв з фальшивим монетним двором і відправив 0.49 ETH в обмін на 14 шахрайських NFT. Одразу після передачі історія трансакцій Lawliet показує численні транзакції «затвердження набору».

Усі транзакції затвердження набору мали адресу хакера «0xD27», встановлену як затверджену адресу. Це означало, що жертву обманом зателефонували за викликом «setApprovalForAll» під час підписання цих транзакцій за допомогою власного гаманця.

NFT, які були вкрадені. зображення: Twitter.

Ключовим моментом тут є те, що коли хтось схвалює транзакцію блокчейну через браузер у програмі, як-от MetaMask, не завжди ясно, які саме дозволи він надає веб-сайту. У цьому випадку потерпілий припускав, що це звичайні трансакції, тоді як насправді він передавав контроль над своїми власними НФТ.

Однак у MetaMask є функція, яка дозволяє користувачам вивчати точний характер своїх транзакцій перед їх виконанням. На цьому етапі потрібно натиснути вкладку «деталі», де відображаються деталі транзакції, включаючи важливу інформацію, як-от адреси, яким надано схвалення. Але під час пориву монетного двору NFT інвестори не завжди можуть перевірити це.

Цей конкретний виклик контракту — setApprovalForAll — дозволив хакеру ініціювати контрактний виклик «transferFrom», який дозволив їм перенести всі Bored Apes жертви в інший гаманець. У програмуванні виклик дозволяє користувачеві виконати код іншого контракту, в даному випадку можливість передати NFT від жертви хакеру.

Після того, як зловмисник отримав дозвіл контролювати NFT жертви, він почав переміщувати їх в інший гаманець. Хакер зміг використати цей метод, щоб взяти Bored Apes та інші NFT, включаючи Mutant Apes і Doodles.

Можливі профілактичні заходи

Власники популярних колекцій NFT, таких як BAYC, продовжують бути об’єктами атак соціальної інженерії, спрямованих на викрадення їхніх цінних NFT. На момент написання статті мінімальна ціна колекції становить понад 118 ETH (320,000 XNUMX доларів США).

У відповідь на подібні інциденти експерти з безпеки, як правило, радять використовувати «гаманці», які містять лише невелику суму коштів для покриття плати за газ. Таким чином, якщо транзакція стане фішинговою атакою, втрати жертви будуть значно обмежені.

Перевірка деталей транзакції перед схваленням також може бути корисною профілактикою. Як Таль Беєрі поклади це, схвалення мають надходити лише до «надійних контрактів» із відносно довгою історією транзакцій. Веб-гаманці, такі як MetaMask, показують деталі транзакцій і можуть бути корисним інструментом для виявлення фішингових атак.

© 2022 The Block Crypto, Inc. Всі права захищені. Ця стаття надана лише в інформаційних цілях. Він не пропонується або не може використовуватися як юридична, податкова, інвестиційна, фінансова чи інша порада.