Ključni izdelki
- OpenSea je v petek zjutraj potrdil ranljivost na svojem strežniku Discord.
- Heker je uporabnike napotil, naj iz povezave z lažnim predstavljanjem ustvarijo ponaredek »YouTube Genesis Mint Passes«.
- Podatki o verigi kažejo, da so izgube zaradi vdora trenutno majhne, saj je do zdaj le šest uporabnikov izgubilo NFT.
Dajte v skupno rabo ta članek
Strežnik OpenSea Discord je bil v petek zgodaj zjutraj vdrt. Niz objav ogroženega bota strežnika OpenSea Discord je uporabnike usmerjal, da iz povezave z lažnim predstavljanjem ustvarijo »YouTube Genesis Mint Pass«.
Vdrli v strežnik OpenSea Discord
Discord največje tržnice NFT je vdrl.
A tweet iz uradne podpore OpenSea Twitter je potrdil, da obstaja ranljivost v strežniku Discord na trgu v petek zjutraj.
Hekerjeva prva objava, ki se je pojavila v kanalu za objave ob 4:04 UTC, je navedla, da je OpenSea »sklenil partnerstvo z YouTubom, da bi svojo skupnost pripeljal v prostor NFT«. V objavi je pisalo, da bo partnerstvo vključevalo izdajo 100 "YouTube Genesis Mint Passes", ki bi imetnikom omogočili brezplačno kovanje skupnih projektov. Objava se je končala s povezavo do ponarejenega spletnega mesta za kovanje, ki je namenjeno zavajanju uporabnikov, da podpišejo transakcijo, ki bi hekerju omogočila prenos NFT-jev iz svoje denarnice.
Zdi se, da je hekerju uspelo ohraniti svojo prisotnost na strežniku nekaj časa, preden so zaposleni v OpenSea lahko ponovno prevzeli nadzor. Hekerju je uspelo objaviti nadaljevanje prvotne lažne objave, ponovno objaviti lažno povezavo in izjaviti, da je bilo 70 % zalog že izkovanih, da bi pri nič hudega slutečih uporabnikih vzbudil »strah pred zamudo«.
Podatki v verigi iz Etherscan kaže, da so izgube zaradi vdora trenutno majhne. Zdi se, da je bilo do zdaj prizadetih skupno le šest denarnic, pri čemer je najbolj dragocena ukradena NFT kartica ConiunPass z Tržna vrednost približno 0.84 ETH ali 2,300 $.
Zgodnja poročila kažejo, da je heker izkoristil spletne kljuke strežnika OpenSea Discord za dostop do nadzora strežnika. Webhook je strežniški vtičnik, ki drugim aplikacijam zagotavlja podatke v realnem času. Medtem ko spletni kavlji služijo uporabni funkciji, jih hekerji vse pogosteje uporabljajo kot vektor napada, saj omogočajo pošiljanje sporočil uporabnikom iz uradnih strežniških računov.
Strežnik OpenSea Discord ni edini, ki je pred kratkim postal žrtev napada webhooks. V začetku aprila so bili Discords več uglednih zbirk NFT, vključno z Bored Ape Yacht Club, Doodles in KaijuKings, ogroženo z uporabo podobnega izkoriščanja, ki hekerju omogoča, da objavlja povezave z lažnim predstavljanjem z uporabo uradnih strežniških računov.
Ta zgodba je prelomna in bo posodobljena, ko bo na voljo več informacij.
Posebna zahvala HttpPwnHub za identifikacijo hekerjeve denarnice.
Razkritje: V času pisanja tega dela je imel avtor v lasti ETH in več drugih kriptovalut.
Dajte v skupno rabo ta članek
Vir: https://cryptobriefing.com/latest-opensea-attack-sees-hacker-infiltrate-discord/?utm_source=feed&utm_medium=rss