Moonbirds Creator gubi milion dolara u NFT-ovima nakon iskorištavanja novčanika

Kreator Moonbirds NFT kolekcije, Kevin Rose, izgubio je oko milion dolara u NFT-ovima nakon što je postao žrtva eksploatacije novčanika. 

Rose je izgubila niz NFT-ova, uključujući 25 Chronie Squiggles i autoglyph NFT. Hak je potvrdio i sam Rose na svom Tviter nalogu. 

Gubitak od milion dolara 

Kevin Rose, suosnivač Moonbirds NFT kolekcije, postao je žrtva phishing prevare, izgubivši preko 1.1 milion dolara NFT-a iz svoje lične kolekcije. Rose je potvrdio hakiranje na svom Twitter-u, a pogled na istoriju transakcija za Rosein novčanik na OpenSea-u otkriva obim hakovanja. Rose je izgubila nekoliko NFT-ova, kao što su OnChainMonkeys, Squiggles i Cool Cats. Rose je na Twitteru izjavila, 

„Upravo sam bio hakovan; ostanite sa nama za detalje – molimo vas da izbjegavate kupovinu bilo kakvih squiggles dok ih ne označimo (upravo izgubljeno 25) + nekoliko drugih NFT-ova (autoglif).“

Međutim, Rose je uspio spasiti svoje najvrednije NFT-ove držeći ih u zasebnom trezoru. Ovi NFT-ovi uključuju Zombie CryptoPunk (CryptoPunk #5066), od kojih postoji samo 87 drugih NFT-ova. Korisnici su nagađali da je dotični novčanik kompromitovan jer je Rose potpisala zlonamjerni paket morske luke. Paket morske luke omogućava korisnicima da trguju više sredstava za druge stavke iste vrijednosti. Rose je sa svoje strane pozvao korisnike da izbjegavaju kupovinu Squiggle NFT-ova, dok je njegov tim radio na tome da ih označi kao ukradene. 

Detalji hakovanja 

Ubrzo su se pojavili detalji o tome kako se hak dogodio. Otkriveno je da se hakiranje najvjerovatnije dogodilo nakon što je on odobrio zlonamjerni potpis, omogućavajući napadaču da prebaci značajan broj Roseinih NFT-ova iz novčanika. Analiza hakovanja otkrila je da je napadač uspio izvući najmanje jedan Autoglyph, čija je minimalna cijena 345 ETH, Chromie Squiggles, koji su vrijedili oko 332.5 ETH, i devet OnChainMonkey artikala, vrijednih oko 7.2 ETH. 

Potpredsjednik DOKAZ, entitet iza kolekcije Moonbirds, Arran Schlosberg, elaborirao je hakiranje na Twitteru, otkrivajući da je Rose bio žrtva phishing eksploatacije koja ga je prevarila da potpiše zlonamjerni potpis i omogućila napadaču da ukrade dotične NFT-ove. 

“Ranije ove večeri, @kevinrose je prevaren da potpiše zlonamjerni potpis koji je hakeru omogućio da prenese veliki broj tokena visoke vrijednosti. Ovdje je pregled onoga što se dogodilo, našeg trenutnog odgovora i naših stalnih napora. Ovo je bio klasični dio društvenog inženjeringa, koji je prevario KRO u lažni osjećaj sigurnosti. Tehnički aspekt hakovanja bio je ograničen na kreiranje potpisa prihvaćenih OpenSeaovim tržišnim ugovorom.”

Kripto analitičar foobar je objasnio da je Rose odobrio ugovor na OpenSea marketplace-u za premještanje svih njegovih NFT-ova kad god je potpisao transakcije, navodeći da je Rose uvijek bio jedan zlonamjerni potpis udaljen od katastrofe. Analitičarka je dodala da je Rose svoju imovinu trebala staviti u poseban novčanik. 

“Premještanje imovine iz vašeg trezora u poseban 'prodajni' novčanik prije nego što se uvrsti na NFT tržišta spriječit će ovo.”

Zlonamjerni potpis je omogućen ugovorom o tržištu morske luke, koji je, iako moćan alat, opasan i ako korisnici nisu svjesni kako funkcionira. 

Ukradena imovina u pokretu

Foobar je također otkrio da je ukradena imovina procijenjena znatno iznad njihove minimalne cijene, što znači da bi gubitak mogao biti znatno veći. On-chain kripto analitičar ZachXBT pratio je ukradenu imovinu, otkrivajući da je eksploatator poslao imovinu na FixedFloat, razmjenu na Bitcoin Lightning Network-u. Sredstva su zatim zamenjena u BTC i deponovana u Bitcoin mikser. 

“Prije tri sata, Kevin je phishing for $1.4m+ NFTs vrijedan. Ranije danas, isti prevarant je ukrao 75 ETH od druge žrtve. Mapirajući ovo, možemo uočiti jasan trend slanja ukradenih sredstava na FixedFloat i zamjene za BTC prije polaganja na bitcoin mikser.”

Osnivač Banklessa Ryan Sean Adams istakao je lakoću s kojom je Rose bila iskorištavana i pozvao front-end inženjere da poboljšaju korisničko iskustvo.

Izjava o odricanju odgovornosti: Ovaj članak je samo u informativne svrhe. Nije ponuđen niti je namijenjen da se koristi kao pravni, porezni, investicioni, finansijski ili drugi savjet.