OpenSea, nezamenljiva tržnica žetonov, je postala žrtev vdora v svoj glavni kanal Discord. Kršitev je omogočila akterjem grožnje, da objavljajo lažne objave o partnerstvih med OpenSea in drugimi projekti.
Discord kanal OpenSea je vdrl
OpenSea je delil a screenshot 6. maja, ki prikazuje lažne novice o partnerstvih. Posnetek zaslona je vseboval tudi povezavo do spletnega mesta z lažnim predstavljanjem. Uradni Twitter račun za podporo OpenSea je objavil, da je bil v petek zjutraj vlomljen strežnik Discord za trg NFT. Podjetje je uporabnikom celo izdalo opozorilo in jih pozvalo, naj ne sledijo nobeni od povezav, objavljenih na kanalu.
Prva objava, ki jo je objavil heker, je vključevala kanal z obvestili, ki trdi, da se je trg NFT »sodružil z YouTubom, da bi svojo skupnost pripeljal v prostor NFT«. Podjetje je tudi dejalo, da bo objavilo prepustnico za kovnico z OpenSea, da bo imetnikom omogočila, da svoj NFT projekt brezplačno kovajo.
Heker je ostal na strežniku dolgo časa, preden je OpenSea lahko obnovil račun. Vendar je heker že večkrat poskušal spodbuditi uporabnike, da se odzovejo na objavo z vzbujanjem strahu pred zamudo. Heker je objavljal nadaljnje objave in trdil, da je bilo 70 % zalog izkovanih.
Heker je uporabnike na OpenSea poskušal pritegniti tudi z besedami, da bo YouTube ponujal "nore pripomočke". Te pripomočke bi dobili tisti, ki so zahtevali NFT. Zatrdili so tudi, da bo ponudba edinstvena in da za sodelovanje ne bodo potrebni dodatni krogi.
Meritve v verigi razkrivajo, da je bilo doslej ogroženih 13 denarnic, najbolj dragocen NFT, ki je bil ukraden, pa je bil Founders' Pass, vreden 3.33 Ether, kar ustreza približno 8900 $.
Spletni kavlji, pripisani kršitvi strežnika
Prva poročila so govorila, da je vsiljivec sprejel Webhooks za dostop do kontrol strežnika. Webhooks so strežniški vtičniki, ki drugi programski opremi omogočajo prejemanje informacij v realnem času. Webhooki se vse pogosteje uporabljajo kot vektor napada za hekerje, ker olajšajo pošiljanje sporočil z uradnimi računi strežnika.
Spletni kavlji niso bili uporabljeni samo za napad na strežnik Discord OpenSea, ampak so bili uporabljeni tudi za napad na priljubljene zbirke NFT. Bored Ape Yacht Club, KaijuKings in Doodles so bili zlorabljeni v začetku prejšnjega meseca, potem ko so izkoriščali podobno ranljivost, ki je hekerjem omogočila uporabo uradnih računov strežnika za objavo povezav z lažnim predstavljanjem.
Vaš kapital je ogrožen.
Preberite več:
Vir: https://insidebitcoins.com/news/opensea-discord-server-hacked-increasing-the-risk-of-phishing-scams