Oszust sprzedał skradzione NFT na OpenSea i wykorzystał mikser kryptowalutowy do wyprania środków.
Konto na Twitterze słynnego artysty cyfrowego Mike’a Winkelmanna, znanego powszechnie jako Beeple, zostało zhakowane 22 maja.
Harry Denley, analityk bezpieczeństwa z firmy Metamask, poinformował o tym za pośrednictwem Twittera.
W swoim tweecie Denley ostrzegł użytkowników, że tweety Beeple’a, które zawierały link do loterii dotyczącej partnerstwa z Louis Vuitton NFT, były częścią ataku phishingowego. Denley dodał, że kliknięcie linku spowoduje odpływ kryptowalut z portfeli użytkowników.
⚠️ Konto Beeple’a na Twitterze zostało skompromitowane (ATO) w celu zamieszczenia strony phishingowej służącej do kradzieży środków.
0x7b69c4f2ACF77300025E49DbDbB65B068b2Fda7D
0xF305F6073CFa24f05FF15CA5b387DD91f871b983 pic.twitter.com/0MPNwOPlEu– harry.eth (whg.eth) (@sniko_) May 22, 2022
Oszust zaaranżował ten atak, chcąc wykorzystać niedawną współpracę Beeple z gigantem mody. W ramach tej współpracy Beeple zaprojektował 30 NFT dla gry mobilnej Louis Vuitton’s Louis The Game. Gra zawierała NFT jako nagrody dla graczy.
Oszust kontynuował umieszczanie linków phishingowych z konta Beeple. Linki te prowadziły do fałszywych kolekcji Beeple, które przyciągały nieświadomych użytkowników. W szczególności, kolekcje te obiecywały darmową mennicę za unikalne NFT.
Denley dodał:
Jeśli założymy, że wszystko jest bezpieczne, to w momencie publikacji tego tweeta złym aktorom udało się dokonać oszustwa:
Oszustwo 2
62.35ETH (~$125k)
37.59WETH (~$75k)
45 NFT (szacunkowo ~$166k)
Razem = $438k (aktywne przez ~5 godzin)
Oszust wykorzystał mieszalnik kryptowalut do prania brudnych pieniędzy
On-chain data ujawniły, że oszust sprzedał uzyskane NFT na OpenSea. Aby wyprać uzyskane w ten sposób środki, oszust wysłał je do mieszalnika kryptowalut.
Beeple w końcu odzyskał kontrolę nad swoim kontem. Jednak wezwał on użytkowników do zachowania ostrożności, dodając, że wszystko, co wydaje się zbyt piękne, by mogło być prawdziwe, jest oszustwem.
Wiadomość ta pojawia się w momencie, gdy ataki phishingowe nadal nękają branżę kryptowalutową i NFT. W ubiegłym miesiącu MetaMask ostrzegł entuzjastów web3 korzystających z urządzeń Apple, aby zachowali ostrożność przed atakiem phishingowym. Ostrzeżenie to pojawiło się po tym, jak jeden z użytkowników Apple stracił NFT i ApeCoin (APE) o wartości ponad 650 000 dolarów.
Według MetaMask, w urządzeniach Apple występuje domyślna luka w zabezpieczeniach, która pozwala złośliwym aktorom zobaczyć frazę seed przechowywaną w usłudze przechowywania danych iCloud firmy Apple.