Kevin Rose, co-fondatorul colecției Moonbirds de jetoane nefungibile (NFT), a căzut victima unei escrocherii de tip phishing care a dus la furtul a peste 1,1 milioane de dolari din NFT-urile sale personale.
Creatorul NFT și co-fondatorul PROOF a împărtășit vestea celor 1,6 milioane de urmăritori pe Twitter pe 25 ianuarie, cerându-le să evite să cumpere NFT Squiggles până când acestea pot fi semnalate ca furate.
Tocmai am fost piratat, rămâi atent pentru detalii: evitați să cumpărați doodle-uri până când le semnalăm (tocmai am pierdut 25) + alte câteva NFT-uri (un autoglif)…
— KΞVIN R◎SE (,) (@kevinrose) 25 ianuarie 2023
Vă mulțumesc pentru toate cuvintele frumoase de sprijin. Urmează raportul complet”, atunci impartit într-un tweet separat, aproximativ două ore mai târziu.
Se înțelege că NFT-urile lui Rose au fost epuizate după ce a semnat o semnătură rău intenționată care a transferat o proporție semnificativă din activele sale NFT către exploatator.
GM – Ce zi!
Astăzi am făcut phishing. Mâine vom acoperi toate detaliile în direct, ca avertisment, în spațiile Twitter. Iată cum s-a întâmplat, din punct de vedere tehnic: https://t.co/DgBKF8qVBK— KΞVIN R◎SE (,) (@kevinrose) 25 ianuarie 2023
Un independent analiză Arkham a descoperit că exploatatorul a extras cel puțin un Autoglyph (345 ETH), 25 Art Blocks, alias Chromie Squiggle, (332,5 ETH) și nouă articole OnChainMonkey (7,2 ETH).
În total, au fost extrași cel puțin 684,7 ETH (1,1 milioane USD).
Cum a fost exploatat Kevin Rose
În timp ce mai multe analize independente au fost partajate în lanț, vicepreședintele PROOF, compania din spatele Moonbirds, Arran Schlosberg, le-a explicat celor 9.500 de adepți de pe Twitter că Rose „a fost phishing pentru a semna o semnătură rău intenționată” care a permis exploatatorului să transfere o cantitate mare de jetoane:
1/ Aceasta a fost o piesă clasică de inginerie socială, care a păcălit KRO într-un fals sentiment de securitate. Aspectul tehnic al hack-ului s-a limitat la acceptarea semnăturilor prin contractul de piață OpenSea.
— Arran (@divergencearran) 25 ianuarie 2023
Analistul criptografic „foobar” a analizat „aspectul tehnic al hack-ului” într-o postare separată din 25 ianuarie, explicând că Rose a aprobat un contract de piață OpenSea pentru a muta toate NFT-urile sale de fiecare dată când Rose a semnat tranzacții.
El a adăugat că Rose a fost întotdeauna „la o semnătură rău intenționată” de o exploatare:
fii foarte atent când semnezi orice, chiar și semnături în afara lanțului. Kevin Rose tocmai a drenat NFT-uri în valoare de aproximativ 2 milioane de dolari din seif pentru că a semnat un pachet de port maritim necinstite. din fericire, au fost reținute câteva lucruri, cum ar fi punk zombie (1000 ETH), care nu poate fi tranzacționat pe sistemul de operare pic.twitter.com/GXHR3NQHLf
-foobar (@0xfoobar) 25 ianuarie 2023
Criptoanalistul a spus că Rose ar fi trebuit să fie „stocate” activele ei NFT într-un portofel separat:
„Mutarea activelor din seif într-un portofel separat de „vânzare” înainte de listare pe piețele NFT va preveni acest lucru.”
Un alt analist în lanț, „Quit”, le-a spus celor 71.400 de urmăritori ai săi pe Twitter, explicând în continuare că contractul de piață al Seaport a permis companiei necinstite, platforma care alimentează OpenSea:
Kevin Rose tocmai a pierdut active în valoare de peste 2 milioane de dolari prin semnarea unei firme în afara lanțului care a creat o listă pentru toate activele sale aprobate de OpenSea dintr-o singură lovitură.
Deși portul este un instrument puternic, poate fi și periculos dacă nu știi cum funcționează.
Un pic de context 1/
-renunț (@0xQuit) 25 ianuarie 2023
Quit a explicat că exploatatorii au putut să creeze un site de phishing care a putut vedea activele NFT în portofelul lui Rose.
Operatorul plasează apoi o comandă pentru ca toate activele Rose care sunt aprobate în OpenSea să fie transferate operatorului.
Rose a validat apoi tranzacția rău intenționată, a remarcat Quit.
Legate de: Proiectul Bluechip NFT Moonbirds semnează cu agenții de talent de la Hollywood UTA
Între timp, foobar a remarcat că majoritatea bunurilor furate au fost cu mult peste prețul minim, ceea ce înseamnă că suma furată ar putea ajunge până la 2 milioane de dolari.
Quit a îndemnat utilizatorii OpenSea să „fuge” de orice alt site web care le cere utilizatorilor să semneze ceva care pare suspect.
NFT-uri în mișcare
Analistul din lanț „ZachXBT” a distribuit o hartă a tranzacțiilor celor 350.300 de urmăritori ai săi pe Twitter, arătând că exploatatorul a trimis activele către FixedFloat, un schimb de criptomonede Bitcoin Layer 2 „Lightning Network”.
Exploatorul a transferat apoi fondurile în Bitcoin (BTC) și înainte de a depune BTC într-un mixer Bitcoin:
Acum trei ore, Kevin a fost phishing pentru peste 1,4 milioane de dolari în NFT. Azi devreme, același escroc a furat 75 ETH de la o altă victimă.
Evidențiind acest lucru, putem observa o tendință clară de a trimite fondurile furate către FixedFloat și de a le schimba cu BTC înainte de a le depune într-un mixer bitcoin. https://t.co/2yrFpfYttT pic.twitter.com/ZlywPYydwx
— ZachXBT (@zachxbt) 25 ianuarie 2023
Membrul Crypto Twitter „Degentraland” le-a spus celor 67.000 de adepți ai săi de pe Twitter că a fost „cel mai trist lucru” pe care l-au văzut până în prezent în spațiul criptomonedei, adăugând că dacă cineva își poate reveni după o astfel de faptă devastatoare, „este el”:
Cel mai trist lucru pe care l-am văzut în cripto până în prezent.@kevinrose portofel golit.
Dacă cineva își poate reveni din asta, este el. pic.twitter.com/HZysg34qji
—Degentraland (@Degentraland) 25 ianuarie 2023
Între timp, fondatorul Bankless, Ryan Sean Adams, s-a simțit cu ușurința cu care Rose putea fi exploatată. Pe 25 ianuarie Piuit, Adams i-a îndemnat pe inginerii front-end să-și ia jocul și să îmbunătățească experiența utilizatorului (UX) pentru a preveni producerea acestor tipuri de escrocherii.
Source link