Кевін Роуз, генеральний директор і засновник Proof, став жертвою очевидного phishing атака, коли його зламаний гаманець, за оцінками, містив рідкісні NFT вартістю мільйони.
Після крадіжки Роуз працював з OpenSea, щоб гарантувати, що вкрадені NFT не можна буде продати на її ринку, але їх можна буде продати на іншій платформі.
Кажуть, що його гаманець втратив 40 NFT у середу, з дані на ринку NFT OpenSea, де показано, що активи були передані зловмиснику кошелек.
Роуз підтвердила злом пізно в четвер чірікать, сказавши, що незабаром поділиться подробицями як попереджувальний хедз-ап. Він міг втратити активи на суму понад 1.4 мільйона доларів, включаючи NFT із таких колекцій, як Автогліф, QQL Pass, Cool Cats, Damien Hirst's The Currency, Admit One і OnChainMonkey, відповідно до nft зараз.
В Потік Twitter, віце-президент Proof з інженерних питань Арран Шлосберг розповів, що саме сталося. Він сказав, що Роуз обманом змусила підписати зловмисний підпис, який дозволив хакеру отримати доступ до цінних токенів.
Шлосберг не згадав, що, на думку Роуза, він підписував, але, схоже, єдиний помилковий крок дав хакеру облікові дані гаманця.
«Це була класична соціальна інженерія, яка ввела KRO в помилкове відчуття безпеки. Технічний аспект злому обмежувався створенням підписів, прийнятих контрактом OpenSea на ринку», — написав Шлосберг.
Він додав, що це не вплинуло на активи Proof, які здебільшого потребують кількох схвалень для доступу.
OpenSea не відповіла на запит Blockworks про коментар до часу преси.
Проблема фішингу NFT
Блокчейн-детектив ZachXBT стверджував, що той самий хакер, який взяв під контроль NFT Роуз, того ж дня викрав 75 ETH (121,000 XNUMX доларів США) в іншої жертви. Потім хакер нібито використовував криптобіржу FixedFloat для конвертації вкрадених коштів у біткойни, а потім переказав їх на службу змішування біткойнів, щоб приховати походження коштів.
Ще один криптовалютний ентузіаст, який має назву «foobar» у Twitter запропонований як можна було запобігти такому злому. Вони порекомендували техніку, відому як «віддалення гаманців», яка включає відокремлення різних гаманців для різних цілей і утримання цінних NFT подалі від будь-яких активних гарячих гаманців. Це заблокувало б розміщення активів на ринках NFT без окремого дозволу на продаж — це втрата зручності, але захист від пастки, у яку потрапила Роуз.
Використання розширення браузера, наприклад Пожежа, який перетворює непрозорий код смарт-контракту на впізнавані дії, також міг би повідомити Роуз, що щось пахне рибою, поки не стало надто пізно.
Цю історію було оновлено 26 січня 2023 року об 5:25 за східним часом із додатковими деталями.
Щовечора отримуйте на свою електронну пошту головні новини та статистику дня про криптовалюту. Підпишіться на безкоштовну розсилку Blockworks зараз.
Хочете, щоб альфа-версія надсилалася безпосередньо у вашу папку "Вхідні"? Отримуйте ідеї торгівлі Degen, оновлення управління, продуктивність токенів, твіти, які не можна пропустити, тощо від Щоденний звіт Blockworks Research.
не можете дочекатися? Отримуйте наші новини найшвидшим способом. Приєднуйтесь до нас на Telegram і слідуйте за нами на Новини Google.
Джерело: https://blockworks.co/news/lessons-from-proof-founder-kevin-roses-1-4m-nft-phishing-experience