Medstifteren af Web3 metaverse spilmotoren "Webaverse" har afsløret, at de var ofre for et kryptohack på 4 millioner dollars efter at have mødt svindlere, der udgav sig for at være investorer i en hotellobby i Rom.
Det bizarre aspekt af historien er ifølge medstifter Ahad Shams, at kryptoen blev stjålet fra en nyoprettet Trust Wallet, og at hacket fandt sted under mødet på et tidspunkt.
Han hævder, at tyvene umuligt kunne have set den private nøgle, og han var heller ikke forbundet til et offentligt WiFi-netværk på det tidspunkt.
Tyvene var på en eller anden måde i stand til at få adgang, mens de tog et billede af pungens balance, mener Shams.
Brevet, som var delt på Twitter den 7. februar, indeholder udtalelser fra Webaverse og Shams, der forklarer, at de mødtes med en mand ved navn "Mr. Safra” den 26. november efter flere ugers diskussioner om potentiel finansiering.
"Vi kom i forbindelse med 'Mr. Safra' over e-mail og videoopkald, og han forklarede, at han ville investere i spændende Web3-virksomheder,” forklarede Shams.
"Han forklarede, at han var blevet snydt af folk i krypto før, og derfor indsamlede han vores ID'er til KYC, og stillede som et krav, at vi flyver til Rom for at møde ham, fordi det var vigtigt at møde IRL for at 'blive fortrolig' med, hvem vi hver især gjorde forretninger med,” tilføjede han.
fuld historie https://t.co/vdkAHyBaG9
— 0xngmi (aggregator bue) (@0xngmi) Februar 6, 2023
Mens Shams oprindeligt var skeptisk, indvilligede han i at møde "Mr. Safra" og hans "bankmand" personligt i en hotelobby i Rom, hvor Shams skulle vise projektets "bevis på midler", som "Mr. Safra" hævdede, at han var nødt til at begynde "papirarbejdet."
“Selvom vi modvilligt gik med til Trust Wallet-beviset, oprettede vi en ny Trust Wallet-konto derhjemme ved hjælp af en enhed, som vi ikke primært brugte til at interagere med dem. Vores tankegang var, at uden vores private nøgler eller frøfraser ville midlerne være sikre alligevel,” sagde Shams.
"Da vi mødtes, sad vi overfor disse tre mænd og overførte 4 millioner USDC til Trust Wallet. 'Hr. Safra' bad om at se saldierne på Trust Wallet-appen og tog sin telefon frem for at 'tage nogle billeder'."
Shams forklarede, at han syntes, det var OK, fordi ingen private nøgler eller frøsætninger blev afsløret til "Mr. Safra."
Men en gang "Mr. Safra” trådte ud af mødelokalet for angiveligt at konsultere sine bankkolleger, han vendte aldrig tilbage. Så så Shams, at midlerne blev trukket ud.
"Vi så ham aldrig igen. Få minutter senere forlod pengene pengepungen."
Næsten umiddelbart efter rapporterede Shams tyveriet til en lokal politistation i Rom og indgav et klageskema for internetkriminalitet (IC3) til US Federal Bureau of Investigation et par dage senere.
Shams sagde, at han stadig ikke aner, hvordan "Mr. Safra" og hans fidushold begik udnyttelsen:
"Den midlertidige opdatering fra de igangværende undersøgelser er, at vi stadig ikke er i stand til med sikkerhed at etablere angrebsvektoren. Efterforskerne har gennemgået tilgængeligt bevismateriale og engageret sig i lange interviews med de relevante personer, men yderligere tekniske oplysninger er nødvendige for, at de kan komme til sikkert at fastslå konklusioner."
"Specifikt har vi brug for mere information fra Trust Wallet om aktivitet på den tegnebog, der blev drænet for at nå frem til en teknisk konklusion, og vi forfølger dem aktivt for deres optegnelser. Dette vil sandsynligvis give os et bedre billede af, hvordan dette er foregået," tilføjede han.
Cointelegraph nåede ud til Shams, og han bekræftede, at han ikke var forbundet til hotellets lobbys WiFi, da han afslørede midlerne på sin Trust Wallet.
Relateret: Bare få phishing-svindlere af vejen
Webaverse-medstifteren mener, at udnyttelsen blev udført på samme måde som en NFT-svindelhistorie delt af NFT-iværksætteren Jacob Riglin den 21. juli 2021.
Der forklarede Riglin, at han mødtes med potentielle forretningspartnere i Barcelona, beviste, at han havde tilstrækkelige midler på sin bærbare computer, og inden for 30 til 40 minutter var midlerne drænet.
NFT Scam hele historien;
Efter svaret på mine tidligere tweets om $90,000-svindel, jeg var involveret i, ønskede jeg at dele flere detaljer om det for at hjælpe med at advare andre om at blive ofre for det.
Jeg blev kontaktet af en Philippe Maloof fra Canbury Properties Limited. Han sagde, at han havde en
— Jacob (@jacobriglin) Juli 21, 2021
Shams har siden delt den Ethereum-baserede transaktion, hvor hans Trust Wallet blev udnyttet, og bemærkede, at midlerne hurtigt blev "opdelt i seks transaktioner og sendt til seks nye adresser, hvoraf ingen havde nogen tidligere aktivitet."
USDC til en værdi af $4 millioner blev derefter næsten fuldstændigt konverteret til Ether (ETH), indpakket-Bitcoin (wBTC) og Tether (USDT) via 1inch's swap-funktion.
Shams indrømmede, at "begivenheden hjemsøger mig den dag i dag", og at udnyttelsen på $4 millioner er "uden tvivl et tilbageslag" for Webaverse.
Han understregede dog, at udnyttelsen af $4 millioner og den verserende undersøgelse ikke vil have nogen indflydelse på firmaets kortsigtede forpligtelser og planer:
"Vi har tilstrækkelig landingsbane på 12-16 måneder baseret på vores nuværende prognoser, og vi er godt i gang med at levere på vores planer."
Trust Wallet CEO Eowyn Chen reagerede på beskyldningerne ved at tweete
Trist at høre om Webaverse-tyveri-sagen. Efter at have været i kontakt med efterforskningshold har vi stor tillid til, at tyveri-sagen IKKE var forårsaget af @TrustWallet app, men sandsynligvis en organiseret kriminalitet. Desværre har der været et par personlige OTC-svindel i Europa, specifikt i Rom. https://t.co/KbIPjz01uB
— Eowync.eth (@EowynChen) Februar 6, 2023
Kilde: https://cointelegraph.com/news/haunts-me-to-this-day-crypto-project-hacked-for-4m-in-a-hotel-lobby