- Funktionen "gasfrit salg" i OpenSea tjente som et afgørende våben for NFT-hackere.
- Ofre er forpligtet til at underskrive en harmløs kontrakt, svarende til en login-signatur.
Den største NFT -markedsplads OpenSea brugere gennemgik risiko på grund af et nyt hack, der involverede en funktion på OpenSea gennem phishing-websteder. Efterhånden som nonfungible tokens (NFT'er) steg i popularitet, er svindlere, der ofte forsøger at drage fordel af brugere på NFT-markedet, steget i aktivitet.
OpenSea har en funktion kaldet "gasfrit salg", som lader brugere sælge NFT'er gennem kontrakter ved at underskrive ulæselige beskeder. Den 23. december Harpy, den første on-chain firewall til at forhindre hacks. Advarede NFT-brugere gennem et tweet om det nye angreb, der involverede gasfrit salg.
Hvordan tiltrak phishing-webstedet brugere?
Brugere skal godkende en signaturanmodning med en ulæselig besked gasfrit salg på OpenSea platformen. Brugere kan også tillade private auktioner med ulæselige signaturer ved hjælp af denne funktion. For at komme ind på et phishing-websted skal ofre dog underskrive en harmløs kontrakt, der ligner en "login-signatur."
Ifølge annoucement, denne login-signatur er et tilbud om at sælge brugernes NFT privat for 0 ETH til hackerens adresse. Når NFT-brugerne har underskrevet det, vil NFT'erne blive overført til hackerens tegnebogsadresse.
Harpie udtalte, at signaturerne ofte præsenteres som et trin, der er nødvendigt for at logge ind og få adgang til hjemmesiden. Harpie hævder, at hackere ved at drage fordel af OpenSeas funktion var i stand til at stjæle millioner af digitale aktiver. Senere fandt eksperten forskellen mellem svindleres anmodninger og brugere.
Harpie påpegede dog også, hvordan en svindler angiveligt stjal 14 Bored Ape NFT'er ved hjælp af den gasløse signaturfunktion den 17. december. Hackeren udførte omfattende social engineering for at føre offeret til et falsk NFT-websted. Og få indehaverens kontrakt underskrive. Herefter blev ofrets pung stjålet i mange milliarder.
Kilde: https://thenewscrypto.com/opensea-private-auction-alarmed-by-nft-scammers/