Приватний аукціон OpenSea наляканий NFT-шахраями

• Функція «безгазових продажів» OpenSea стала важливою зброєю для хакерів NFT. 
• Жертви повинні підписати нешкідливий контракт, подібний до підпису для входу.

Найбільший Ринок NFT OpenSea користувачі зазнали ризику через новий злом із залученням функції OpenSea через фішингові веб-сайти. Із зростанням популярності невзаємозамінних токенів (NFT) збільшилася активність шахраїв, які часто намагаються скористатися перевагами користувачів на ринку NFT. 

OpenSea має функцію під назвою «безгазові продажі», яка дозволяє користувачам продавати NFT через контракти, підписуючи повідомлення, які неможливо прочитати. 23 грудня ц. гарпія, перший мережевий брандмауер, який запобігає зламам. Попередив користувачів NFT через твіт про нову атаку, пов’язану з безгазовими продажами.

Як фішинговий веб-сайт залучив користувачів?

Користувачі повинні схвалити запит на підпис із нечитабельним повідомленням безгазовий продаж на платформі OpenSea. Крім того, за допомогою цієї функції користувачі можуть дозволити приватні аукціони з нерозбірливими підписами. Однак, щоб увійти на фішинговий веб-сайт, жертви повинні підписати нешкідливий договір, схожий на «підпис для входу».

Згідно зі рікuncement, цей підпис для входу є пропозицією приватно продати NFT користувачів за 0 ETH на адресу хакера. Щойно користувачі NFT підпишуть його, NFT будуть переведені на адресу гаманця хакера.

Гарпі заявив, що підписи часто представляють як крок, необхідний для входу та доступу до веб-сайту. Harpie стверджує, що, скориставшись функцією OpenSea, хакери змогли викрасти мільйони цифрових активів. Пізніше експерт виявив різницю між запитами шахраїв і користувачами. 

Проте Гарпі також зазначив, як 14 грудня шахрай нібито вкрав 17 NFT Bored Ape за допомогою функції підпису без газу. Хакер здійснив широку соціальну інженерію, щоб перевести жертву на підроблений веб-сайт NFT. І попросіть власника підписати контракт. Після цього у жертви вкрали багатомільярдний гаманець.