В събота, 19 февруари, хакерска атака взе няколко жертви сред потребителите на OpenSea. Крадецът е успял да открадне безплатно нефунгиращи жетони (NFT) чрез фишинг операция. Нека разгледаме какво се случи.
Нов хак за OpenSea
Едва месец след последния хак, платформата за непарични токени (NFT) OpenSea отново е в новините. Въпреки че този път нямаше нищо общо с него, няколко от потребителите му получиха неприятната изненада в събота вечер, когато техните NFT бяха раздадени безплатно.
Според Девин Финцър, главен изпълнителен директор на OpenSea, 32 потребители на пазара са били измамени, като са позволили на интелигентен договор да прехвърли тяхната колекция от скъпоценности. Използваният метод за фишинг все още не е известен, но грешката тук е човешка и не е отговорност на платформата :
Както можем да преценим, това е фишинг атака. Не смятаме, че е свързан с уебсайта OpenSea. Изглежда, че досега 32 потребители са подписали злонамерен полезен товар от нападател и някои от техните NFT са били откраднати.
– Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
За да успее в операцията си, преди около месец хакерът внедрява своя интелигентен договор. Това дава на бъдещите жертви време да подпишат „половин сделка“ без тяхно знание, което позволява на крадеца да получи плячката си безплатно. Единственото, което крадецът е трябвало да направи, е накрая да потвърди „продажбите“ в избран от него момент, което му позволява да възстанови няколко НФТ в рамките на една транзакция.
За по-техничните от вас, процесът е обяснен по-подробно в тази тема:
Виждате объркване относно операционната система, така че.
Атакуващият е накарал хората да подпишат половината от валидна поръчка за уайвърн, поръчката е била основно празна, с изключение на целта (договора на атакуващия) и данните за калдаша, атакуващият подписва другата половина на поръчката.
– Neso (@Nesotual) February 20, 2022
След като е успял в операцията си, хакерът е трябвало само да продаде улова си и да изпере всичко чрез смесителя Tornado Cash. Така съдебният спор ще възлезе на 1,7 милиона долара.
В OpenSea, ако вземем на случаен принцип един от NFT, свързан с този хак, наистина можем да видим в историята, че първата транзакция е направена без компенсация на адреса на виновника и че той я препродава един час по-късно за 13,5 ETH.
Човеците все още са уязвимост номер едно
Иронията е, че това се случва 24 часа преди миграцията на NFT на платформата към нов интелигентен договор. Новият договор е поправка на последния хакерски пробив в OpenSea, който позволи да се извършват продажби на цени, значително по-ниски от пазарните.
Има някои предположения относно предполагаемата самоличност на извършителя, но това си остава предположение и към момента на писане на статията няма нищо сигурно.
Във всеки случай този хакерски пробив ни напомня колко е необходимо да бъдем бдителни по отношение на трансакциите, които подписваме, и разрешенията, които даваме. Фалшивите акаунти на проекти са многобройни в социалните мрежи, както и фишинг имейлите или личните съобщения. Много често първият недостатък е самият човек. Никой не е застрахован от грешка и затова никога не трябва да правим сделки „набързо“ или да манипулираме активите си, когато физическото и емоционалното ни състояние не е 100%.
