Harpie advarer NFT-brugere om nye tricks brugt af hackere, der involverer gasløse køb på OpenSea. Platformen hævder, at hackere efterfølgende har stjålet aber for millioner af mennesker i de sidste par måneder.
Typisk skal brugere godkende en signaturanmodning med en uforståelig besked for at sælge gasfrit på den populære NFT-markedsplads, OpenSea, og også oprette private auktioner. Signaturer præsenteres ofte som nødvendige trin for at logge ind og bruge hjemmesiden.
Ved at drage fordel af dette tekniske smuthul er phishing-websteder begyndt at anmode ofre om at underskrive en af disse uforståelige karakterer, ubevidst.
Login-beskeder sendt af hackere til ofre er signaturanmodninger, der anmoder brugeren om at godkende privat salg og øjeblikkelig overførsel af aktiver til hackerkontoen gratis.
Denne trick og phishing-kampagne, bemærker Harpie, har ført til, at aber for millioner af værdi er blevet overført fra den populære NFT-markedsplads.
Web3-brugere bør passe på is-phishing
Efter et nyligt phishing angribe på Metamask advarede blockchain-sikkerhedsfirmaet CertiK for nyligt cryptocurrency-samfundet om en praksis, de kalder "ice phishing."
Ved at bruge denne sårbarhed får svindlere Web3-brugere til at underskrive tilladelser, der giver angriberne ret til at bruge deres tokens. Svindlen er ifølge CertiK eksklusiv for Web3-industrien og udgør en alvorlig fare.
Den 17. december påpegede en analytiker, hvordan en svindler efter sigende stjal 14 Bored Ape NFT'er ved hjælp af den gasfrie Seaport-signaturfunktion.
Hackeren gennemførte omfattende social engineering, før han førte offeret til en falsk NFT-platform og anmodede om den konto, der blev brugt til at indgå en kontrakt. Derefter blev offerets pung stjålet.
Kilde: https://crypto.news/hackers-exploiting-opensea-feature-to-steal-expensive-apes-and-nfts/