„OpenSea“, nepakeičiama žetonų prekyvietė, tapo įsilaužimo į pagrindinį „Discord“ kanalą auka. Dėl pažeidimo grėsmės veikėjai galėjo skelbti netikrus pranešimus apie „OpenSea“ ir kitų projektų partnerystę.
Nulaužtas „OpenSea“ kanalas „Discord“.
OpenSea pasidalino a zrzutki gegužės 6 d., rodydamas netikras naujienas apie partnerystę. Ekrano kopijoje taip pat buvo nuoroda į sukčiavimo svetainę. Oficialioje „OpenSea“ palaikymo „Twitter“ paskyroje buvo paskelbta, kad penktadienio rytą buvo pažeistas NFT prekyvietės „Discord“ serveris. Bendrovė netgi perspėjo vartotojus, ragindama nesekti jokių kanale paskelbtų nuorodų.
Pirmajame įsilaužėlio įraše buvo pranešimų kanalas, kuriame teigiama, kad NFT prekyvietė „bendradarbiavo su YouTube, kad įtrauktų jų bendruomenę į NFT erdvę“. Bendrovė taip pat pranešė, kad paskelbs kaldinimo leidimą kartu su „OpenSea“, kad turėtojai galėtų nemokamai nukaldinti savo NFT projektą.
Įsilaužėlis ilgą laiką išbuvo serveryje, kol OpenSea galėjo atkurti paskyrą. Tačiau įsilaužėlis jau kelis kartus bandė priversti vartotojus reaguoti į pranešimą, kurdamas baimę praleisti. Įsilaužėlis paskelbė tolesnius įrašus ir teigė, kad 70% tiekimo buvo nukaldinta.
Įsilaužėlis taip pat bandė suvilioti „OpenSea“ vartotojus sakydamas, kad „YouTube“ pasiūlys „beprotiškų paslaugų“. Šios komunalinės paslaugos būtų suteiktos tiems, kurie pareikalavo NFT. Jie taip pat tvirtino, kad pasiūlymas bus unikalus ir norint dalyvauti nereikės papildomų turų.
Grandinės metrika rodo, kad iki šiol buvo pažeista 13 piniginių, o vertingiausias pavogtas NFT buvo „Founders' Pass“, kurio vertė 3.33 eterio, atitinkančio maždaug 8900 USD.
Žiniatinklio kabliukai, priskiriami serverio pažeidimui
Pirmosiose ataskaitose teigiama, kad įsibrovėlis priėmė Webhooks, kad pasiektų serverio valdiklius. Webhooks yra serverio papildiniai, leidžiantys kitai programinei įrangai gauti informaciją realiuoju laiku. Webhooks vis dažniau naudojamas kaip įsilaužėlių atakos vektorius, nes palengvina pranešimų siuntimą su oficialiomis serverių paskyromis.
„Webhooks“ buvo naudojami ne tik „OpenSea“ nesantaikos serveriui atakuoti, bet ir populiarioms NFT kolekcijoms atakuoti. „Bored Ape Yacht Club“, „KaijuKIngs“ ir „Doodles“ buvo pažeisti praėjusio mėnesio pradžioje, kai pasinaudojo panašiu pažeidžiamumu, leidžiančiu įsilaužėliams naudoti oficialias serverio paskyras, kad galėtų skelbti sukčiavimo nuorodas.
Jūsų kapitalui gresia pavojus.
Plačiau paskaitykite čia:
Šaltinis: https://insidebitcoins.com/news/opensea-discord-server-hacked-increasing-the-risk-of-phishing-scams