„Nonfungible token“ (NFT) prekyvietė „OpenSea“ patyrė serverio pažeidimą pagrindiniame „Discord“ kanale, įsilaužėliams paskelbus netikrus „Youtube partnerystės“ pranešimus.
Ekrano kopija dalijamasi Penktadienį rodomos netikros bendradarbiavimo naujienos kartu su nuoroda į sukčiavimo svetainę. Oficiali „OpenSea“ palaikymo komanda „Twitter“ paskelbė, kad penktadienio rytą buvo pažeistas prekyvietės „Discord“ serveris, ir perspėjo vartotojus nespausti kanale esančių nuorodų.
Nespauskite nuorodų mūsų Discorde.
Mes ir toliau tiriame šią situaciją ir dalinsimės turima informacija. https://t.co/jgtHcXifer
– „OpenSea“ palaikymas (@opensea_support) Gali 6, 2022
Pradiniame įsilaužėlio įraše, paskelbtame pranešimų kanale, buvo teigiama, kad „OpenSea“ „bendradarbiavo su YouTube, kad įtrauktų jų bendruomenę į NFT erdvę“. Taip pat buvo teigiama, kad jie išleis kalyklos leidimą su „OpenSea“, kuris leistų savininkams nemokamai nukalti savo projektą.
Atrodo, kad įsibrovėlis sugebėjo išbūti serveryje ilgą laiką, kol OpenSea darbuotojai sugebėjo atgauti kontrolę. Siekdamas įteigti aukoms „baimę praleisti“, įsilaužėlis iš naujo paskelbė pradinio apgaulingo pranešimo tęsinius, pakartodamas suklastotą nuorodą ir tvirtindamas, kad 70 % prekių jau buvo nukaldinta.
Aferistas taip pat bandė suvilioti „OpenSea“ vartotojus teigdamas, kad „YouTube“ teiks „beprotiškas paslaugas“ tiems, kurie pretenduoja į NFT. Jie teigia, kad šis pasiūlymas yra unikalus ir daugiau sukčiams būdingo turo dalyvauti nebebus.
oficiali steigėjų žinutė
„Doodles“ nesantaika įsiskverbė į nulaužtą robotą. Bet koks pranešimas, paskelbtas bet kuriame mūsų kanale, kol kas nekreipkite dėmesio. Mes jame. Mums padeda teisininkai, nesantaikos draugai ir bendruomenė. Mes jus informuosime, kai nustatysime situaciją.
- papuošti logotipais (@doodles) Vasaris 26, 2022
Grandinės duomenys rodo 13 piniginių, kurie, atrodo, buvo pažeisti rašant, o vertingiausia pavogta NFT yra įkūrėjų leidimas, kurio vertė yra maždaug 3.33 ETH arba 8,982.58 XNUMX USD.
Pradinės ataskaitos pasiūlyti kad įsibrovėlis naudojo žiniatinklio kabliukus, kad pasiektų serverio valdiklius. Webhook yra serverio papildinys, leidžiantis kitai programinei įrangai gauti informaciją realiuoju laiku. Webhookus vis dažniau naudoja kaip atakų vektorių įsilaužėliai, nes jie suteikia galimybę siųsti pranešimus iš oficialių serverių paskyrų.
Susiję: Beždžionių tema „airdrop“ sukčiavimo sukčiai daugėja, perspėja ekspertai
„OpenSea Discord“ nėra vienintelis serveris, naudojamas naudojant „webhooks“. Keletas žinomų NFT kolekcijų kanalų, įskaitant Nuobodu Ape jachtklubu, Doodles ir KaijuKings, buvo pažeisti balandžio pradžioje su panašiu pažeidžiamumu, leidžiančiu įsilaužėliui naudoti oficialias serverio paskyras, kad galėtų skelbti sukčiavimo nuorodas.
Šaltinis: https://cointelegraph.com/news/opensea-discord-server-hacked-users-warned-to-be-vigilant-of-phishing-scams