NFT kolekcionierius praranda 2.7 mln. USD „Bored Ape“ NFT ir išvestinių priemonių

NFT kolekcionierius Larry Lawlietas pirmadienį per įtariamą socialinės inžinerijos ataką prarado septynias brangias Bored Apes ir keletą kitų NFT.

Panašu, kad nusikaltėlis apgavo Lawlietą, kad jis pasirašytų suklastotus sandorius, suteikiančius jiems prieigą prie jo NFT. Tada jie pasinaudojo šia prieiga, kad perkeltų NFT į savo piniginę.

Lawliet paėmė socialiniame tinkle „Twitter“, sakydamas, kad užpuolikas pavogė 13 jo NFT, įskaitant septynias nuobodžiaujančias beždžiones, penkias beždžiones mutantas ir vieną papuoštą logotipą. Iš viso Lawliet nuostolis siekia 2.7 mln. JAV dolerių, atsižvelgiant į minimalią iš jo piniginės pavogtų NFT kainą.

Kaip tai atsitiko

Aukos bėdos prasidėjo, kai užpuolikas (greičiausiai tas pats asmuo) paėmė kontrolė kitos NFT kolekcijos „Moschi Mochi“ „Discord“ serverio, kad paskelbtų netikrą pranešimą apie papildomą kalyklą. Sukčiavimas buvo susijęs su Moschi Mochi bendruomenės narių kvietimu dalyvauti papildomame 1,000 25,000 NFT pinigų kalykloje, kad būtų galima laimėti XNUMX XNUMX USD loteriją.

Pažvelgus į Lawliet piniginės adresą „Etherscan“, matyti, kad jis bendravo su netikra monetų kalykla ir išsiuntė 0.49 ETH mainais už 14 sukčių NFT. Iš karto po pervedimo Lawliet operacijų istorijoje rodoma daug „nustatyti patvirtinimo“ operacijų.

Visos šios rinkinio patvirtinimo operacijos turėjo įsilaužėlio „0xD27“ adresą, nustatytą kaip patvirtintą adresą. Tai reiškė, kad auka, pasirašydama šias operacijas savo pinigine, buvo apgauta ir paskambino „setApprovalForAll“.

NFT, kurie buvo pavogti. Vaizdas: Twitter.

Svarbiausias dalykas yra tai, kad kai kas nors patvirtina „blockchain“ operaciją per programos naršyklę, pvz., „MetaMask“, ne visada aišku, kokius leidimus jie suteikia svetainei. Šiuo atveju auka manė, kad tai buvo įprasti sandoriai, nors iš tikrųjų jis perdavė savo NFT kontrolę.

Tačiau „MetaMask“ yra funkcija, leidžianti vartotojams prieš jas vykdyti tiksliai ištirti savo operacijų pobūdį. Šis veiksmas apima skirtuką „Išsami informacija“, kuriame pateikiama išsami informacija apie operaciją, įskaitant svarbią informaciją, pvz., patvirtintus adresus. Tačiau skubėdami į NFT kalyklą investuotojai ne visada gali tai patikrinti.

Šis konkretus sutarties skambutis – setApprovalForAll – leido įsilaužėliui inicijuoti sutarties skambutį „transferFrom“, kuris leido perkelti visas aukos Bored Apes į kitą piniginę. Programuojant skambutis leidžia vartotojui vykdyti kitos sutarties kodą, šiuo atveju galimybę perduoti NFT iš aukos įsilaužėliui.

Kai užpuolikas gavo leidimą valdyti aukos NFT, jie pradėjo juos perkelti į kitą piniginę. Įsilaužėlis galėjo panaudoti šį metodą, kad paimtų nuobodžiaujančias beždžiones ir kitus NFT, įskaitant Mutant Apes ir Doodles.

Galimos prevencinės priemonės

Populiarių NFT kolekcijų, tokių kaip BAYC, savininkai ir toliau yra socialinės inžinerijos atakų, kuriomis siekiama pavogti jų vertingus NFT, taikiniais. Rašymo metu kolekcijos minimali kaina viršija 118 ETH (320,000 XNUMX USD).

Reaguodami į tokius incidentus, saugumo ekspertai paprastai pataria naudoti „degiklių pinigines“ – adresus, kuriuose yra tik nedidelė lėšų suma dujų mokesčiams padengti. Taigi, jei sandoris yra sukčiavimo ataka, aukos nuostoliai bus žymiai apriboti.

Išsamios operacijos informacijos patikrinimas prieš patvirtinimą taip pat gali būti naudinga prevencinė priemonė. Kaip Tal Be'ery padėti, patvirtinimai turėtų būti teikiami tik „patikimoms sutartims“, kurių sandorių istorija yra gana ilga. Žiniatinklio piniginės, tokios kaip „MetaMask“, rodo išsamią operacijų informaciją ir gali būti naudingas įrankis aptikti sukčiavimo atakas.

© 2022 „The Block Crypto, Inc.“. Visos teisės saugomos. Šis straipsnis pateiktas tik informaciniais tikslais. Ji nesiūloma ir nesiekiama naudoti kaip teisinė, mokesčių, investavimo, finansinė ar kita konsultacija.