Privatna aukcija OpenSea uzbuna od strane NFT prevaranta

• Funkcija "prodaje bez gasa" OpenSea-a služila je kao ključno oružje za NFT hakere. 
• Od žrtava se traži da potpišu bezopasni ugovor, sličan potpisu za prijavu.

Najveća NFT tržište OpenSea korisnici su bili izloženi riziku zbog novog hakovanja koji uključuje funkciju na OpenSea putem phishing web stranica. Kako su nezamjenjivi tokeni (NFT) postajali sve popularniji, tako su i prevaranti koji često pokušavaju da iskoriste prednosti korisnika na NFT tržištu povećali aktivnost. 

OpenSea ima funkciju koja se zove „prodaja bez gasa“, koja korisnicima omogućava prodaju NFT-ova putem ugovora potpisivanjem nečitljivih poruka. 23. decembra god. Harpija, prvi zaštitni zid na lancu koji sprečava hakove. Upozorio je korisnike NFT-a putem tvita o novom napadu koji uključuje prodaju bez gasa.

Kako je phishing web stranica privukla korisnike?

Korisnici moraju odobriti zahtjev za potpis sa nečitljivom porukom prodaja bez gasa na platformi OpenSea. Takođe, korisnici mogu dozvoliti privatne aukcije sa nečitljivim potpisima koristeći ovu funkciju. Međutim, da bi ušle na web lokaciju za krađu identiteta, žrtve moraju potpisati bezopasni ugovor koji je sličan "potpisu za prijavu".

Prema godineuncement, ovaj potpis za prijavu je ponuda za privatnu prodaju NFT korisnika za 0 ETH na adresu hakera. Kada ga korisnici NFT-a potpišu, NFT-ovi će biti prebačeni na adresu hakerskog novčanika.

Harpie je naveo da se potpisi često predstavljaju kao korak neophodan za prijavu i pristup web stranici. Harpie tvrdi da su hakeri, koristeći prednosti OpenSea-e, mogli ukrasti milione digitalne imovine. Kasnije je stručnjak otkrio razliku između zahtjeva prevaranta i korisnika. 

Međutim, Harpie je takođe istakao kako je prevarant navodno ukrao 14 Bored Ape NFT-ova koristeći funkciju potpisa bez gasa 17. decembra. Haker je izvršio opsežan društveni inženjering kako bi doveo žrtvu do lažne NFT veb stranice. I neka potpiše ugovor vlasnika. Nakon toga, žrtvin novčanik je ukraden u više milijardi.