NFT kolekcionar Larry Lawliet izgubio je sedam skupocjenih majmuna Bored Apes i niz drugih NFT-a zbog sumnjivog napada socijalnog inženjeringa u ponedjeljak.
Činilo se da je počinitelj prevario Lawlieta da potpiše lažne transakcije koje su im omogućile pristup njegovim NFT-ovima. Zatim su iskoristili ovaj pristup za prijenos NFT-ova u vlastiti novčanik.
Lawliet uzeo Twitteru rekavši da je napadač ukrao 13 njegovih NFT-ova, uključujući sedam Bored Apes, pet Mutant Apes i jedan Doodle. Ukupno, Lawlietov gubitak iznosi 2.7 milijuna dolara na temelju minimalne cijene NFT-ova ukradenih iz njegovog novčanika.
Kako se to dogodilo
Nevolje žrtve su počele kada je napadač (vjerojatno ista osoba) uzeo kontrola Discord poslužitelja druge NFT kolekcije pod nazivom Moschi Mochi da objavi lažnu najavu o dodatnom novcu. Prijevara je uključivala pozivanje članova Moschi Mochi zajednice da sudjeluju u dodatnoj ponudi od 1,000 NFT-ova kako bi dobili priliku za osvajanje 25,000 dolara na tomboli.
Pogled na Lawlietovu adresu novčanika na Etherscanu pokazuje da je komunicirao s lažnom kovnicom i poslao 0.49 ETH u zamjenu za 14 prijevarnih NFT-ova. Neposredno nakon prijenosa, Lawlietova povijest transakcija pokazuje brojne transakcije "odobrenja skupa".
Sve ove transakcije odobrenja skupa imale su adresu hakera “0xD27” postavljenu kao odobrenu adresu. To je značilo da je žrtva bila prevarena da nazove "setApprovalForAll" poziv prilikom potpisivanja ovih transakcija vlastitim novčanikom.
NFT-ovi koji su ukradeni. Slika: Twitter.
Ključna stvar ovdje je da kada netko odobri blockchain transakciju putem preglednika unutar aplikacije kao što je MetaMask, nije uvijek jasno koja točno dopuštenja daje web stranici. U ovom slučaju, žrtva je pretpostavila da se radi o redovitim transakcijama dok je zapravo davao kontrolu nad svojim vlastitim NFT-ovima.
Međutim, na MetaMasku postoji značajka koja korisnicima omogućuje da ispitaju točnu prirodu svojih transakcija prije nego što ih izvrše. Ovaj korak uključuje klik na karticu "pojedinosti" koja zatim prikazuje pojedinosti o transakciji uključujući vitalne informacije kao što su adrese kojima je odobreno. Ali tijekom žurbe za NFT kovnicom, investitori to možda neće uvijek provjeriti.
Ovaj konkretni ugovorni poziv — setApprovalForAll — omogućio je hakeru da pokrene ugovorni poziv "transferFrom" koji im je omogućio da prebace sve žrtvine Bored Apes u drugi novčanik. U programiranju, poziv omogućuje korisniku da izvrši kod drugog ugovora, u ovom slučaju, mogućnost prijenosa NFT-ova sa žrtve na hakera.
Nakon što je napadač dobio dopuštenje za kontrolu žrtvinih NFT-ova, počeli su ih premještati u drugi novčanik. Haker je bio u mogućnosti upotrijebiti ovu metodu da uzme Bored Apes i druge NFT-ove uključujući Mutant Apes i Doodles.
Moguće preventivne mjere
Vlasnici popularnih NFT kolekcija kao što je BAYC i dalje su mete napada društvenog inženjeringa s ciljem krađe njihovih vrijednih NFT-ova. U trenutku pisanja, kolekcija ima donju cijenu od preko 118 ETH (320,000 USD).
Kao odgovor na incidente poput ovih, stručnjaci za sigurnost općenito savjetuju korištenje "novčanika za plamen", adresa koje sadrže samo mali iznos sredstava za pokrivanje naknada za plin. Stoga, ako se dogodi da je transakcija napad na krađu identiteta, gubitak žrtve bit će značajno ograničen.
Provjera pojedinosti transakcije prije odobravanja također može biti korisna preventivna mjera. Kao Tal Be'ery stavi, odobrenja bi trebala ići samo na "pouzdane ugovore" s relativno dugom poviješću transakcija. Web novčanici kao što je MetaMask prikazuju detalje transakcija i mogu biti koristan alat za uočavanje phishing napada.
© 2022. Block Crypto, Inc. Sva prava pridržana. Ovaj je članak dostupan samo u informativne svrhe. Ne nude se niti se koriste kao pravni, porezni, investicijski, financijski ili drugi savjeti.
Izvor: https://www.theblockcrypto.com/post/132567/nft-collector-loses-2-7-million-in-bored-ape-nfts-and-derivatives?utm_source=rss&utm_medium=rss