Zbiralec NFT Larry Lawliet je v ponedeljek zaradi domnevnega napada socialnega inženiringa izgubil sedem dragih Bored Apes in niz drugih NFT.
Zdi se, da je storilec zavedel Lawlieta, da je podpisal lažne transakcije, ki so jim omogočile dostop do njegovih NFT. Ta dostop so nato uporabili za prenos NFT-jev v lastno denarnico.
Lawliet vzel Twitterju, ki pravi, da je napadalec ukradel 13 njegovih NFT-jev, med njimi sedem opic Bored Apes, pet Mutant Apes in enega Doodle. Lawlietova izguba skupaj znaša 2.7 milijona dolarjev na podlagi najnižje cene NFT, ukradenih iz njegove denarnice.
Kako se je zgodilo
Težave žrtve so se začele, ko je napadel napadalec (verjetno ista oseba). nadzor strežnika Discord druge zbirke NFT, imenovane Moschi Mochi, da objavi lažno objavo o dodatni kovnici. Prevara je vključevala povabilo članov skupnosti Moschi Mochi, da sodelujejo v dodatni kovnici 1,000 NFT, da bi dobili priložnost za zmago v nagradni igri 25,000 $.
Pogled na Lawlietov naslov denarnice na Etherscanu kaže, da je sodeloval s ponarejeno kovnico in poslal 0.49 ETH v zameno za 14 prevarantskih NFT. Takoj po prenosu Lawlietova zgodovina transakcij kaže številne transakcije z "odobritvijo nabora".
Vse te transakcije odobritve nabora so imele hekerjev naslov »0xD27« nastavljen kot odobren naslov. To je pomenilo, da je bila žrtev zavedena, da je poklicala klic »setApprovalForAll«, ko je podpisala te transakcije z lastno denarnico.
NFT, ki so bili ukradeni. slika: Twitter.
Ključna stvar pri tem je, da ko nekdo odobri transakcijo blockchain prek brskalnika v aplikaciji, kot je MetaMask, ni vedno jasno, katera dovoljenja daje spletnemu mestu. V tem primeru je žrtev domnevala, da gre za redne transakcije, v resnici pa je dajal nadzor nad lastnimi NFT.
Vendar pa obstaja funkcija MetaMask, ki uporabnikom omogoča, da preučijo natančno naravo svojih transakcij, preden jih izvedejo. Ta korak vključuje klik na zavihek »podrobnosti«, ki nato prikaže podrobnosti o transakciji, vključno z bistvenimi informacijami, kot so naslovi, ki jim je bila odobrena odobritev. Toda med hitenjem za kovnico NFT vlagatelji tega morda ne preverijo vedno.
Ta posebni pogodbeni klic – setApprovalForAll – je hekerju omogočil, da sproži pogodbeni klic »transferFrom«, ki mu je omogočil prenos vseh žrtvinih Bored Apes v drugo denarnico. Pri programiranju klic omogoča uporabniku, da izvede kodo druge pogodbe, v tem primeru možnost prenosa NFT od žrtve do hekerja.
Ko je napadalec dobil dovoljenje za nadzor nad žrtvinimi NFT-ji, jih je začel premikati v drugo denarnico. Heker je lahko s to metodo vzel Bored Apes in druge NFT, vključno z Mutant Apes in Doodles.
Možni preventivni ukrepi
Lastniki priljubljenih zbirk NFT, kot je BAYC, so še naprej tarče napadov socialnega inženiringa, katerih cilj je ukrasti njihove dragocene NFT. V času pisanja ima zbirka minimalno ceno več kot 118 ETH (320,000 $).
V odgovor na tovrstne incidente strokovnjaki za varnost na splošno svetujejo uporabo "gornikovih denarnic", naslovov, ki vsebujejo le majhno količino sredstev za kritje stroškov plina. Torej, če je transakcija napad lažnega predstavljanja, bo izguba žrtve znatno omejena.
Preverjanje podrobnosti transakcije pred odobritvijo je lahko tudi koristen preventivni ukrep. Kot Tal Be'ery stavi, odobritve naj gre samo za "zaupanja vredne pogodbe" z relativno dolgo zgodovino transakcij. Spletne denarnice, kot je MetaMask, prikazujejo podrobnosti transakcij in so lahko uporabno orodje pri odkrivanju napadov z lažnim predstavljanjem.
© 2022 The Block Crypto, Inc. Vse pravice pridržane. Ta članek je na voljo samo v informativne namene. Ni na voljo ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet.
Vir: https://www.theblockcrypto.com/post/132567/nft-collector-loses-2-7-million-in-bored-ape-nfts-and-derivatives?utm_source=rss&utm_medium=rss