Kevin Rose, suosnivač Moonbirds (NFT) grupe, postao je žrtva phishing prijevare koja je dovela do krađe osobnih NFT-ova u vrijednosti od 1,1 milijun dolara.
Tvorac NFT-a i suosnivač PROOF-a podijelio je vijest sa svojih 1,6 milijuna sljedbenika na Twitteru 25. siječnja tražeći od njih da izbjegavaju kupnju Squiggles NFT-ova kako bi ih mogli označiti kao ukradene.
Upravo je hakiran, ostanite s nama za detalje – molimo izbjegavajte kupnju bilo kakvih zvjezdica dok ne budu označene (izgubili smo samo 25) + još nekoliko NFT-ova (automatska slika)…
– KΞVIN R ◎ SE (,) (kevinrose) 25. siječnja 2023
“Hvala vam na svim ljubaznim riječima podrške. Potpuni izvještaj”, slijedi Uzajamno U zasebnom tvitu oko dva sata kasnije.
Podrazumijeva se da su Roseovi NFT predmeti presušili nakon što je zlonamjerni potpis prenio veliki postotak njegove NFT imovine na skalper.
General Motors – Kakav dan!
Danas su me trolali. Sutra ćemo o svim detaljima uživo, kao podnožje upozorenja, na Twitter prostranstvima. Evo kako se to tehnički događa: https://t.co/DgBKF8qVBK– KΞVIN R ◎ SE (,) (kevinrose) 25. siječnja 2023
nezavisna analiza Arkham je otkrio da je eksploatator rudario najmanje jedan Autoglyph (345 ETH), 25 umjetničkih blokova – također poznatih kao Chromie Squiggle – (332,5 ETH) i devet OnChainMonkey predmeta (7,2 ETH).
Ukupno je izrudareno najmanje 684,7 ETH (1,1 milijun dolara).
Kako je Kevin Rose iskorišten?
Iako su podijeljene mnoge neovisne on-chain analize, potpredsjednik PROOF-a – tvrtke koja stoji iza Moonbirdsa – Arran Schlosberg objasnio je svojim 9500 sljedbenika na Twitteru da je Rose “prevaren da potpiše zlonamjerni potpis” koji je omogućio eksploatatoru prijenos velikog broja tokena :
1/ Ovo je bio klasičan dio društvenog inženjeringa, koji je KRO-u natjerao na lažni osjećaj sigurnosti. Tehnička strana hakiranja bila je ograničena na izradu potpisa koji su prihvatljivi prema ugovoru za tržište OpenSea.
— Aran (@divergencearran) 25. siječnja 2023
Kripto analitičar “foobar” pružio je više detalja o “tehničkoj strani hakiranja” u posebnoj objavi 25. siječnja, objašnjavajući da je Rose pristao sklopiti ugovor s OpenSea Marketplaceom za prijenos svih svojih NFT-ova kad god Rose potpiše transakcije.
Dodao je da je Rose uvijek bila “jedan lukavi potpis” udaljena od iskorištavanja:
Budite vrlo oprezni kada potpisujete bilo što, čak i neformalne potpise. kevin Rose je izbacio gotovo 2 milijuna dolara u NFT-ovima iz svog trezora iz potpisa zlonamjernog paketa u morskoj luci. Srećom, neke stvari su odgođene, poput punk zombija (1000 ETH) koji se ne može trgovati na OS-u pic.twitter.com/GXHR3NQHLf
– foobar (@0xfoobar) 25. siječnja 2023
Analitičar kriptovaluta je rekao da je Rose umjesto toga trebao “blokirati” svoju NFT imovinu u zasebnom novčaniku:
“Premještanje imovine iz vašeg trezora u zaseban ‘prodajni’ novčanik prije nego što ih uvrstite na NFT tržišta spriječit će ovo.”
Drugi on-chain analitičar, Quit, rekao je svojih 71.400 Twitter pratitelja da je zlonamjerni potpis omogućen Seaportovim tržišnim ugovorom – platformom koja pokreće OpenSea:
Kevin Rose upravo je izgubio više od 2 milijuna dolara u imovini potpisivanjem ugovora izvan lanca koji je stvorio popis svih njegovih odobrenih sredstava OpenSea u jednom potezu.
Iako je morska luka moćan alat, može biti i opasna ako niste upoznati s načinom na koji radi.
malo konteksta 1/
– prekinuti (@0xQuit) 25. siječnja 2023
Quit je objasnio da su eksploatatori uspjeli stvoriti phishing stranicu koja je mogla prikazati NFT sredstva koja se drže u Roseovom novčaniku.
Eksploatator zatim postavlja narudžbu za svu imovinu Rose odobrenu u OpenSea da se zatim prenese eksploatatoru.
Zatim Rose potvrđuje zlonamjernu transakciju, napomena “Izlaz”.
Povezano: Projekt Bluechip NFT Moonbirds potpisuje ugovor s agentima za talente UTA Hollywood
Foobar je u međuvremenu ukazao da je većina ukradene imovine znatno iznad minimalne cijene, što znači da bi ukradeni iznos mogao iznositi čak 2 milijuna dolara.
Quit je pozvao korisnike OpenSea da “trebaju pobjeći” od bilo koje druge web stranice koja potiče korisnike da potpišu nešto što izgleda sumnjivo.
NFT-ovi u pokretu
On-chain analitičar “ZachXBT” podijelio je mapu transakcija sa svojih 350.300 sljedbenika na Twitteru, koja pokazuje da je eksploatator poslao sredstva FixedFloatu – mjenjačnici kriptovaluta na Bitcoin-2 sloju “Lightning Network”.
Skalper je zatim prebacio sredstva u Bitcoin (BTC) i položio BTC u Bitcoin mikser:
Prije tri sata, Kevin je prevaren za NFT-ove u vrijednosti od 1,4 milijuna dolara. Ranije danas, isti je prevarant ukrao 75 ETH od druge žrtve.
Prikazujući ovo na grafikonu, možemo vidjeti jasan trend slanja ukradenih sredstava u FixedFloat i zamjene BTC-a prije polaganja u bitcoin mikser. https://t.co/2yrFpfYttT pic.twitter.com/ZlywPYydwx
– ZachXBT (@zachxbt) 25. siječnja 2023
Crypto Twitter član “Degentraland” rekao je svojih 67.000 Twitter pratitelja da je to “najtužnija stvar” koju su do sada vidjeli u prostoru kriptovaluta, dodajući da ako se itko može vratiti nakon tako razorne eksploatacije, “to je”:
Najtužnija stvar koju sam dosad vidio u kriptovaluti.@zaposlenik odvod novčanika.
Ako se itko može vratiti iz ovoga, onda je to on. pic.twitter.com/HZysg34qji
– Degentraland 25. siječnja 2023
U međuvremenu, osnivač Banklessa Ryan Sean Adams bio je bijesan zbog lakoće s kojom je Rose iskorištavana. Dana 25. siječnja cvrkut, Adams je pozvao front-end inženjere da krenu sa svojom igrom i poboljšaju korisničko iskustvo (UX) kako bi spriječili takve prijevare.