NFT kolekcionar Larry Lawliet izgubio je sedam skupocjenih majmuna Bored Apes i niz drugih NFT-a zbog sumnjivog napada socijalnog inženjeringa u ponedjeljak.
Činilo se da je počinitelj prevario Lawlieta da potpiše lažne transakcije koje su im omogućile pristup njegovim NFT-ovima. Zatim su iskoristili ovaj pristup za prebacivanje NFT-ova u svoj novčanik.
Lawliet uzela na Twitter-u rekavši da je napadač ukrao 13 njegovih NFT-ova, uključujući sedam majmuna Bored Apes, pet Mutant Apes i jedan Doodle. Ukupno, Lawlietov gubitak iznosi 2.7 miliona dolara na osnovu minimalne cijene NFT-ova ukradenih iz njegovog novčanika.
Kako se to dogodilo
Nevolje žrtve su počele kada je napadač (vjerovatno ista osoba) uzeo kontrola Discord servera druge NFT kolekcije pod nazivom Moschi Mochi da objavi lažnu najavu o dodatnom novcu. Prevara je uključivala pozivanje članova zajednice Moschi Mochi da učestvuju u dodatnom novcu od 1,000 NFT-ova kako bi dobili priliku da osvoje 25,000 dolara na nagradnoj igri.
Pogled na Lawlietovu adresu novčanika na Etherscan-u pokazuje da je stupio u interakciju sa lažnom kovnicom novca i poslao 0.49 ETH u zamjenu za 14 prevarantskih NFT-ova. Neposredno nakon transfera, Lawlietova istorija transakcija pokazuje brojne transakcije "odobrenja skupa".
Sve ove transakcije odobrenja skupa imale su adresu hakera “0xD27” postavljenu kao odobrenu adresu. To je značilo da je žrtva bila prevarena da pozove „setApprovalForAll“ poziv prilikom potpisivanja ovih transakcija sopstvenim novčanikom.
NFT-ovi koji su ukradeni. slika: cvrkut.
Ključna stvar ovdje je da kada neko odobri blockchain transakciju putem pretraživača u aplikaciji kao što je MetaMask, nije uvijek jasno koje točno dozvole daje web stranici. U ovom slučaju, žrtva je pretpostavila da se radi o redovnim transakcijama dok je u stvari davao kontrolu nad sopstvenim NFT.
Međutim, na MetaMasku postoji funkcija koja omogućava korisnicima da ispitaju tačnu prirodu svojih transakcija prije nego što ih izvrše. Ovaj korak uključuje klik na karticu „detalji“ koja zatim prikazuje detalje o transakciji uključujući vitalne informacije kao što su adrese kojima je odobreno. Ali tokom žurbe za NFT kovnicom, investitori to možda neće uvijek provjeriti.
Ovaj konkretni ugovorni poziv — setApprovalForAll — omogućio je hakeru da pokrene ugovorni poziv „transferFrom“ koji im je omogućio da prebace sve žrtvine Bored Apes u drugi novčanik. U programiranju, poziv omogućava korisniku da izvrši kod drugog ugovora, u ovom slučaju mogućnost prenosa NFT-a sa žrtve na hakera.
Kada je napadač dobio dozvolu da kontroliše žrtvine NFT-ove, počeli su da ih prebacuju u drugi novčanik. Haker je bio u mogućnosti da koristi ovu metodu da uzme Bored Apes i druge NFT-ove uključujući Mutant Apes i Doodles.
Moguće preventivne mjere
Vlasnici popularnih NFT kolekcija kao što je BAYC i dalje su mete napada socijalnog inženjeringa koji imaju za cilj krađu njihovih vrijednih NFT-ova. U trenutku pisanja, kolekcija ima minimalnu cijenu od preko 118 ETH (320,000 dolara).
Kao odgovor na ovakve incidente, stručnjaci za sigurnost općenito savjetuju korištenje „novčanika za gorionike“, adresa koje sadrže samo mali iznos sredstava za pokrivanje naknada za plin. Stoga, ako se dogodi da transakcija predstavlja phishing napad, gubitak žrtve će biti značajno ograničen.
Provjera detalja transakcije prije odobravanja također može biti korisna preventivna mjera. Kao Tal Be'ery Stavi to, odobrenja bi trebala ići samo na “pouzdane ugovore” sa relativno dugom istorijom transakcija. Web novčanici kao što je MetaMask prikazuju detalje transakcija i mogu biti koristan alat za uočavanje phishing napada.
© 2022. Block Crypto, Inc. Sva prava pridržana. Ovaj je članak dostupan samo u informativne svrhe. Ne nude se niti se koriste kao pravni, porezni, investicioni, finansijski ili drugi savjeti.
Izvor: https://www.theblockcrypto.com/post/132567/nft-collector-loses-2-7-million-in-bored-ape-nfts-and-derivatives?utm_source=rss&utm_medium=rss