Koleksionisti i NFT, Larry Lawliet, humbi shtatë majmunët e shtrenjtë të Bored dhe një sërë NFT-sh të tjera si pasojë e një sulmi të dyshuar të inxhinierisë sociale të hënën.
Autori duket se e mashtronte Lawliet për të nënshkruar transaksione të rreme që u jepnin atyre akses në NFT-të e tij. Ata më pas përdorën këtë akses për të transferuar NFT-të në portofolin e tyre.
ligjor mori në Twitter duke thënë se 13 nga NFT-të e tij ishin vjedhur nga sulmuesi, duke përfshirë shtatë majmunët e mërzitur, pesë majmunët mutant dhe një shkarravinë. Në total, humbja e Lawliet është 2.7 milionë dollarë bazuar në çmimin bazë të NFT-ve të vjedhura nga portofoli i tij.
Si ndodhi
Telashet e viktimës filluan kur një sulmues (me gjasë i njëjti person) mori kontrolluar i serverit Discord të një koleksioni tjetër NFT të quajtur Moschi Mochi për të postuar një njoftim të rremë në lidhje me një nenexhik shtesë. Mashtrimi përfshinte ftesën e anëtarëve të komunitetit Moschi Mochi për të marrë pjesë në një mint shtesë prej 1,000 NFT për një shans për të fituar një lotari prej 25,000 dollarësh.
Një vështrim në adresën e portofolit të Lawliet në Etherscan tregon se ai ndërveproi me nenexhikun e rremë dhe dërgoi 0.49 ETH në këmbim të 14 NFT-ve të mashtrimit. Menjëherë pas transferimit, historia e transaksioneve të Lawliet tregon transaksione të shumta të "miratimit të caktuar".
Të gjitha këto transaksione miratimi të vendosura kishin adresën “0xD27” të hakerit të caktuar si adresë të miratuar. Kjo do të thoshte se viktima ishte mashtruar për të thirrur thirrjen "setApprovalForAll" kur nënshkroi këto transaksione me portofolin e tij.
NFT-të që u vodhën. Imazhi: Twitter.
Një gjë kryesore këtu është se kur dikush miraton një transaksion blockchain nëpërmjet një shfletuesi brenda aplikacionit si MetaMask, nuk është gjithmonë e qartë saktësisht se çfarë lejesh po i japin faqes së internetit. Në këtë rast, viktima supozoi se ato ishin transaksione të rregullta, kur në fakt ai po jepte kontrollin mbi NFT-të e tij.
Sidoqoftë, ekziston një veçori në MetaMask që lejon përdoruesit të ekzaminojnë natyrën e saktë të transaksioneve të tyre përpara se t'i ekzekutojnë ato. Ky hap përfshin klikimin e skedës "detajet" e cila më pas shfaq detaje rreth transaksionit duke përfshirë informacione jetike si adresat që u jepet miratimi. Por gjatë nxitimit për një mint NFT, investitorët mund të mos e kontrollojnë gjithmonë këtë.
Kjo thirrje e veçantë e kontratës - setApprovalForAll - i lejoi hakerit të iniconte thirrjen e kontratës "transferFrom", e cila u mundësoi atyre të transferonin të gjithë majmunët e mërzitur të viktimës në një portofol tjetër. Në programim, një thirrje lejon një përdorues të ekzekutojë kodin e një kontrate tjetër, në këtë rast, aftësinë për të transferuar NFT-të nga viktima te hakeri.
Pasi sulmuesi kishte lejen për të kontrolluar NFT-të e viktimës, ata filluan t'i transferonin ato në një portofol tjetër. Hakeri ishte në gjendje të përdorte këtë metodë për të marrë Bored Apes dhe NFT të tjera, duke përfshirë Mutant Apes dhe Doodles.
Masat e mundshme parandaluese
Pronarët e koleksioneve të njohura NFT si BAYC vazhdojnë të jenë objektiva të sulmeve të inxhinierisë sociale që synojnë vjedhjen e NFT-ve të tyre të vlefshme. Deri në kohën e shkrimit, koleksioni ka një çmim bazë prej mbi 118 ETH (320,000 dollarë).
Në përgjigje të incidenteve si këto, ekspertët e sigurisë në përgjithësi këshillojnë përdorimin e "portofoleve djegëse", adresa që përmbajnë vetëm një sasi të vogël fondesh për të mbuluar tarifat e gazit. Kështu, nëse transaksioni ndodh të jetë një sulm phishing, humbja e viktimës do të kufizohet ndjeshëm.
Verifikimi i detajeve të transaksionit përpara miratimit mund të jetë gjithashtu një masë e dobishme parandaluese. Si Tal Be'ery e vënë atë, miratimet duhet të shkojnë vetëm për "kontrata të besueshme" me histori relativisht të gjata transaksionesh. Kuletat në ueb si MetaMask tregojnë detaje të transaksioneve dhe mund të jenë një mjet i dobishëm në zbulimin e sulmeve të phishing.
© 2022 Blloku Crypto, Inc. Të gjitha të drejtat e rezervuara. Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose nuk synohet të përdoret si këshillë ligjore, tatimore, investimesh, financiare ose këshillë tjetër.
Burimi: https://www.theblockcrypto.com/post/132567/nft-collector-loses-2-7-million-in-bored-ape-nfts-and-derivatives?utm_source=rss&utm_medium=rss