Творець Moonbirds втратив 1 мільйон доларів на NFT після експлойту гаманця

Творець колекції Moonbirds NFT Кевін Роуз втратив близько 1 мільйона доларів на NFT після того, як став жертвою експлойту гаманця. 

Роуз втратила низку NFT, зокрема 25 Chronie Squiggles і Autoglyph NFT. Злом підтвердив сам Роуз у своєму Twitter-акаунті. 

Втрата на мільйон доларів 

Кевін Роуз, співзасновник колекції Moonbirds NFT, став жертвою фішингового шахрайства, втративши NFT на понад 1.1 мільйона доларів зі своєї особистої колекції. Роуз підтвердив злом у своєму обліковому записі в Twitter, і огляд історії транзакцій гаманця Роуза на OpenSea показує ступінь злому. Роуз втратила кілька NFT, таких як OnChainMonkeys, Squiggles і Cool Cats. Роуз написала у Twitter, 

«Мене просто зламали; Слідкуйте за подробицями – будь ласка, не купуйте будь-які загойдування, доки ми не позначимо їх (щойно втратили 25) + кілька інших NFT (автогліф)».

Однак Роуз зміг врятувати свої найцінніші NFT, зберігаючи їх в окремому сховищі. Ці NFT включають Zombie CryptoPunk (CryptoPunk #5066), серед яких є лише 87 інших NFT. Користувачі припустили, що гаманець, про який йде мова, був скомпрометований через те, що Роуз підписала шкідливий портовий пакет. Пакет морських портів дозволяє користувачам обмінювати кілька активів на інші предмети тієї ж вартості. Роуз, зі свого боку, закликав користувачів уникати покупки Squiggle NFT, поки його команда працює над тим, щоб позначити їх як вкрадені. 

Деталі злому 

Незабаром з'явилися подробиці про те, як стався злом. Було виявлено, що злом, швидше за все, стався після того, як він схвалив шкідливий підпис, що дозволило зловмиснику перевести значну кількість NFT Роуза з гаманця. Аналіз злому показав, що зловмиснику вдалося отримати принаймні один Autoglyph, мінімальна ціна якого становить 345 ETH, Chromie Squiggles, які коштували близько 332.5 ETH, і дев’ять предметів OnChainMonkey, вартістю близько 7.2 ETH. 

Віце-президент PROOF, суб’єкт, який стоїть за колекцією Moonbirds, Арран Шлосберг, детально розповів про злом у Twitter, показавши, що Роуз став жертвою фішингу, який обманом змусив його підписати зловмисний підпис і дозволив зловмиснику вкрасти відповідні NFT. 

«Раніше цього вечора @kevinrose отримав фішинг, щоб підписати зловмисний підпис, який дозволив хакеру передати велику кількість високоцінних токенів. Ось розбивка того, що сталося, наша негайна відповідь і наші поточні зусилля. Це була класична соціальна інженерія, яка ввела KRO в помилкове відчуття безпеки. Технічний аспект злому обмежувався створенням підписів, прийнятих у контракті торгової площі OpenSea».

Криптоаналітик foobar пояснив, що Роуз схвалив контракт на ринок OpenSea щодо переміщення всіх своїх NFT щоразу, коли він підписував транзакції, заявивши, що Роуз завжди був на відстані однієї зловмисної сигнатури від катастрофи. Аналітик додав, що Роуз повинен був зберігати свої активи в окремому гаманці. 

«Переміщення активів із вашого сховища в окремий «продажний» гаманець перед розміщенням на торгових майданчиках NFT запобіжить цьому».

Шкідливий підпис був увімкнений торговим контрактом морського порту, який, хоча і є потужним інструментом, також є небезпечним, якщо користувачі не знають, як він працює. 

Викрадені активи в русі

Foobar також виявив, що вкрадені активи були оцінені значно вище мінімальної ціни, що означає, що втрати можуть бути значно більшими. Криптографічний аналітик ZachXBT відстежив викрадені активи, виявивши, що експлуататор відправив активи на FixedFloat, біржу в мережі Bitcoin Lightning. Потім кошти були обмінені на BTC і внесені в змішувач біткойнів. 

«Три години тому Кевін отримав фішинг на NFT на суму понад 1.4 мільйона доларів. Раніше сьогодні той самий шахрай викрав 75 ​​ETH в іншої жертви. Розглянувши це, ми можемо побачити чітку тенденцію надсилання вкрадених коштів у FixedFloat і обміну на BTC перед депозитом у змішувач біткойнів».

Засновник Bankless Райан Шон Адамс підкреслив легкість, з якою було використано Rose, і закликав інженерів переднього плану покращити взаємодію з користувачем.

Застереження: Ця стаття надана виключно в ознайомлювальних цілях. Він не пропонується і не призначений для використання як юридична, податкова, інвестиційна, фінансова чи інша порада.