Tvorac Moonbirdsa izgubio 1 milijun dolara u NFT-ovima nakon iskorištavanja novčanika

Tvorac NFT kolekcije Moonbirds, Kevin Rose, izgubio je oko milijun dolara u NFT-ovima nakon što je postao žrtva iskorištavanja novčanika. 

Rose je izgubila niz NFT-ova, uključujući 25 Chronie Squiggles i Autoglyph NFT. Hakiranje je potvrdio i sam Rose na svom Twitteru. 

Gubitak od milijun dolara 

Kevin Rose, suosnivač Moonbirds NFT kolekcije, postao je žrtva phishing prijevare, izgubivši više od 1.1 milijun dolara NFT-ova iz svoje osobne kolekcije. Rose je potvrdio hakiranje na svom Twitteru, a pogled na povijest transakcija za Roseov novčanik na OpenSea otkriva razmjere hakiranja. Rose je izgubila nekoliko NFT-ova, kao što su OnChainMonkeys, Squiggles i Cool Cats. Rose je na Twitteru izjavila, 

“Upravo su me hakirali; Pratite nas za detalje – izbjegavajte kupnju vijuganja dok ih ne označimo (upravo smo izgubili 25) + nekoliko drugih NFT-ova (autoglif)."

Međutim, Rose je uspio spasiti svoje najvrjednije NFT-ove držeći ih u zasebnom trezoru. Ovi NFT-ovi uključuju Zombie CryptoPunk (CryptoPunk #5066), od kojih postoji samo 87 drugih NFT-ova. Korisnici su nagađali da je dotični novčanik bio ugrožen jer je Rose potpisala zlonamjerni seaport paket. Paket morske luke omogućuje korisnicima razmjenu više sredstava za druge stavke iste vrijednosti. Rose je sa svoje strane pozvao korisnike da izbjegavaju kupnju Squiggle NFT-ova dok je njegov tim radio na tome da ih označi kao ukradene. 

Pojedinosti o hakiranju 

Ubrzo su se pojavili detalji o tome kako je došlo do hakiranja. Otkriveno je da se hakiranje najvjerojatnije dogodilo nakon što je odobrio zlonamjerni potpis, što je napadaču omogućilo prijenos značajnog broja Roseovih NFT-ova iz novčanika. Analiza hakiranja otkrila je da je napadač uspio izvući najmanje jedan Autoglyph, čija je minimalna cijena 345 ETH, Chromie Squiggles, koji su bili vrijedni oko 332.5 ETH, i devet OnChainMonkey artikala, vrijednih oko 7.2 ETH. 

Potpredsjednik od DOKAZ, subjekt koji stoji iza kolekcije Moonbirds, Arran Schlosberg, razradio je hakiranje na Twitteru, otkrivajući da je Rose bio žrtva phishing exploita koji ga je prevario da potpiše zlonamjerni potpis i omogućio napadaču da ukrade predmetne NFT-ove. 

“Ranije ove večeri, @kevinrose je prijetvoren u potpisivanje zlonamjernog potpisa koji je hakeru omogućio prijenos velikog broja tokena visoke vrijednosti. Ovdje je pregled onoga što se dogodilo, naš trenutni odgovor i naši stalni napori. Ovo je bio klasičan dio društvenog inženjeringa, koji je KRO-u natjerao na lažni osjećaj sigurnosti. Tehnički aspekt hakiranja bio je ograničen na izradu potpisa prihvaćenih ugovorom za tržište OpenSea.”

Kripto analitičar foobar objasnio je da je Rose odobrio ugovor s tržištem OpenSea za premještanje svih njegovih NFT-ova kad god je potpisao transakcije, navodeći da je Rose uvijek bio jedan zlonamjerni potpis udaljen od katastrofe. Analitičar je dodao da je Rose svoju imovinu trebao skloniti u poseban novčanik. 

"Premještanje imovine iz vašeg trezora u zaseban 'prodajni' novčanik prije izlistavanja na NFT tržnicama spriječit će ovo."

Zlonamjerni potpis omogućio je ugovor o tržištu morske luke, koji je, iako moćan alat, također opasan ako korisnici nisu svjesni kako funkcionira. 

Ukradena imovina u pokretu

Foobar je također otkrio da je ukradena imovina procijenjena znatno iznad svoje minimalne cijene, što znači da bi gubitak mogao biti znatno veći. On-chain kripto analitičar ZachXBT pratio je ukradenu imovinu, otkrivajući da je eksploatator poslao imovinu na FixedFloat, razmjenu na Bitcoin Lightning mreži. Sredstva su zatim zamijenjena u BTC i položena u Bitcoin mikser. 

“Prije tri sata, Kevin je prijevaren za NFT-ove u vrijednosti od 1.4 milijuna dolara. Ranije danas, isti je prevarant ukrao 75 ETH od druge žrtve. Preslikavajući ovo, možemo vidjeti jasan trend slanja ukradenih sredstava u FixedFloat i zamjene za BTC prije polaganja u bitcoin mikser.”

Osnivač Banklessa Ryan Sean Adams istaknuo je lakoću s kojom je Rose iskorištavan i pozvao je front-end inženjere da poboljšaju korisničko iskustvo.

Izjava o odricanju odgovornosti: Ovaj je članak dostupan samo u informativne svrhe. Ne nudi se niti se namjerava koristiti kao pravni, porezni, investicijski, financijski ili drugi savjet.