Kevin Rose, CEO og grundlægger af Proof, blev offer for en tilsyneladende Phishing angreb, hvor hans hackede pung skønnes at have indeholdt sjældne NFT'er til en værdi af millioner.
Efter tyveriet arbejdede Rose sammen med OpenSea for at sikre, at de stjålne NFT'er ikke kan sælges på dens markedsplads, men de kan stadig sælges på en anden platform.
Hans pung siges at have mistet 40 NFT'er onsdag, med data på NFT-markedspladsen OpenSea, der viser, at aktiverne blev overført til angriberens pung.
Rose bekræftede hacket sent torsdag tweet, og sagde, at han snart ville dele detaljer som en advarsel. Han kan have mistet aktiver på op mod $1.4 millioner inklusive NFT'er fra samlinger som Autoglyph, QQL Pass, Cool Cats, Damien Hirsts The Currency, Admit One og OnChainMonkey, iflg. nft nu.
I en Twitter tråd, Proofs VP for Engineering Arran Schlosberg brød ned, hvad der præcist gik ned. Han sagde, at Rose blev narret til at underskrive en ondsindet signatur, der gjorde det muligt for hackeren at få adgang til tokens af høj værdi.
Schlosberg nævnte ikke, hvad Rose troede, han skrev under på, men det enkelte fejltrin ser ud til at have givet hackeren hans pung-legitimationsoplysninger.
"Dette var et klassisk stykke social engineering, der narrede KRO til en falsk følelse af sikkerhed. Det tekniske aspekt af hacket var begrænset til at lave signaturer accepteret af OpenSeas markedspladskontrakt,” skrev Schlosberg.
Han tilføjede, at Proofs aktiver, som for det meste kræver flere godkendelser for adgang, ikke blev påvirket.
OpenSea returnerede ikke Blockworks anmodning om kommentar ved pressetid.
NFT-phishing-problemet
Blockchain-udøver ZachXBT hævdede at den samme hacker, der tog kontrol over Roses NFT'er, stjal 75 ETH ($121,000) fra et andet offer samme dag. Hackeren brugte derefter angiveligt kryptobørs FixedFloat til at konvertere de stjålne midler til bitcoin, før han overførte dem til en bitcoin-blandingstjeneste for at skjule midlernes oprindelse.
Endnu en kryptoentusiast, der går under navnet 'foobar' på Twitter foreslog hvordan et sådant hack kunne have været forhindret. De anbefalede en teknik kendt som "wallet siloing", som involverer adskillelse af forskellige tegnebøger til forskellige formål og at holde værdifulde NFT'er væk fra aktive hot wallets. Dette ville blokere for aktiverne fra at blive noteret på NFT-markedspladser uden særskilt salgsgodkendelse - et tab af bekvemmelighed, men et forsvar mod den slags fælde, Rose faldt i.
Brug af en browserudvidelse som f.eks Brand, der oversætter uigennemsigtig smart kontraktkode til genkendelige handlinger, ville også have tippet Rose om, at noget lugtede fiskeagtigt, før det var for sent.
Denne historie blev opdateret den 26. januar 2023 kl. 5:25 ET med yderligere detaljer.
Få dagens bedste kryptonyheder og -indsigter leveret til din e-mail hver aften. Tilmeld dig Blockworks' gratis nyhedsbrev nu.
Vil du have alfa sendt direkte til din indbakke? Få degen-handelsideer, styringsopdateringer, token-ydeevne, tweets, du ikke må gå glip af og mere fra Blockworks Research's Daily Debrief.
Kan du ikke vente? Få vores nyheder hurtigst muligt. Kom med os på Telegram og følg os på Google Nyheder.
Kilde: https://blockworks.co/news/lessons-from-proof-founder-kevin-roses-1-4m-nft-phishing-experience