Vor fast 12 Stunden bestätigte der führende NFT-Marktplatz OpenSea, dass sein Team einen möglichen Exploit im Zusammenhang mit seinen Smart Contracts untersucht. Die Plattform behauptete, sie sei von einer Phishing-Strategie angegriffen worden, die offenbar „von außerhalb“ ihrer Website stammte.
Verwandte Lesung | Cardano verdoppelte die Belohnung für Hacker, um Schwachstellen in seiner Blockchain aufzudecken
Damals wurde Benutzern geraten, das Öffnen von Links außerhalb der Hauptwebsite von OpenSea zu vermeiden. Die Plattform hat noch keinen vollständigen Bericht über die Situation veröffentlicht, aber ihr CEO Devin Finzer angegeben dass es einem Kriminellen gelungen sei, bis zu 32 Benutzer dazu zu verleiten, eine „bösartige Nutzlast“ zu signieren, und „einige ihrer NFTs“ stehlen konnte.
Der Angreifer nutzte offenbar eine Standard-E-Mail und kopierte eine Nachricht, die der Marktplatz in den vergangenen Wochen an seine Nutzer gesendet hatte. Bei der Nachricht handelte es sich um eine betrügerische Strategie, um die böswillige Anordnung zu verbergen. Der Empfänger musste seine Einträge vor dem 25. Februar migrierenth Indem er fortfuhr, stellte der Benutzer dem Angreifer die oben genannte Payload-Signatur zur Verfügung.
Spekulationen zufolge konnte der Bösewicht auf diese Weise die Kontrolle über die NFTs des Benutzers übernehmen und diese mit Wyvern Exchange handeln. Wyvern ist eine dezentrale Börse, die auf Ethereum läuft und es Menschen ermöglicht, beliebige Vermögenswerte in diesem Netzwerk ohne Eingreifen Dritter zu handeln. Finzer sagte:
Wichtig ist, dass Gerüchte, dass es sich dabei um einen 200-Millionen-Dollar-Hack handelte, falsch sind. Der Angreifer hat durch den Verkauf einiger der gestohlenen NFTs ETH im Wert von 1.7 Millionen US-Dollar in seinem Portemonnaie.
Der Angreifer konnte NFTs aus verschiedenen Sammlungen stehlen, darunter Lil Baby Punk, Azuki, Syn City Genesis Passes, Doodles, FOMO MOFOS, CloneX, PXQuest Adventurer und andere. Laut der Sicherheitsfirma SlowMist nutzte der Hacker das dezentrale Protokoll Tornado Cash, um 1115 ETH auszuzahlen.
Aktivitäten des Hackers https://t.co/Z2dgw7EhHS pic.twitter.com/ZshNAVV54b
- SlowMist (@SlowMist_Team) 20. Februar 2022
Der Angriff hätte eine neue Bedrohung für NFT-Investoren darstellen können angegeben vom Pseudonym-Entwickler foobar:
Eine einzige bösartige Signatur kann *alle* Ihre genehmigten OpenSea-NFTs zerstören. Es ist nicht, wie ursprünglich angenommen, erforderlich, für jeden einen einzelnen Verkaufsauftrag zu unterzeichnen. Auf diese Weise hat der heutige Hacker in einer einzigen Transaktion mit einer einzigen Signatur 10 Azukis, 8 Mfers und 3 mutierte Affen gestohlen.
OpenSea-Angreifer möglicherweise entdeckt
OpenSea hat, wie bereits erwähnt, noch keine weiteren Informationen oder einen offiziellen Bericht über den Phishing-Angriff veröffentlicht. Ein pseudonymer Benutzer teilte jedoch ein Diagramm, das angeblich vom Team von OpenSea erstellt wurde und in dem er einen potenziellen Verdächtigen identifizierte.
Unter dem Namen „Amir Soliman“ forderte der Pseudonym-Benutzer die Krypto-Börsen Kraken und Coinbase auf, nach potenziellen KYC-Informationen zu suchen. Den von diesem Benutzer vorgelegten potenziellen Beweisen zufolge war der Hacker aufgrund von 19 kleinen ETH-Transaktionen auf deren Plattformen mit diesen Börsen verbunden.
Aktualisiertes Diagramm – Offenbar hat OpenSea Amir Soliman als Verdächtigen markiert …
- Das war schnell!! @krakensupport @CoinbaseSupport – Überprüfen Sie die DMs. Ich kann PDF-Kopien davon bereitstellen, damit Sie auch die Sende-Hashes überprüfen können. Die Coinbase-Verknüpfung ist am offensichtlichsten, aber es gibt noch mehr. pic.twitter.com/5JYQ0h1q3p
— charliemarketplace.eth (@charliemktplace) 20. Februar 2022
Die Art dieser Transaktionen oder die Identität eines Verdächtigen muss vom NFT-Marktplatz noch bestätigt werden. In der Zwischenzeit sind alle Informationen mit Vorsicht zu genießen und als Spekulation zu betrachten, aber es scheint, dass die Transaktionen Teil des Vorbereitungsprozesses für einen Phishing-Angriff waren.
Was die Opfer dieses Angriffs betrifft, mit Ausnahme derjenigen, denen ihre NFTs zurückgegeben wurden, könnte der Geldwert ihrer Vermögenswerte wiederhergestellt werden, aber die einzigartig geprägten NFTs mit einem potenziellen sentimentalen Wert könnten für immer verloren gehen.
Verwandte Lesung | Daten zeigen, dass der Bitfinex-Hack den größten Bitcoin-Vorrat aller Zeiten über 5 Jahre erweckt hat
Zum Zeitpunkt der Drucklegung wird Ethereum (ETH) bei 2,633 $ gehandelt, was einem Verlust von 4.73 % auf dem 4-Stunden-Chart entspricht.
- 11
- 7
- Nach
- Aktivitäten
- genehmigt
- Vermögenswert
- Details
- Baby
- Bevor
- Bitcoin
- Bitfinex
- Bargeld
- CEO
- Stadt
- coinbase
- Produktauswahl
- Verträge
- könnte
- Krypto
- Crypto-Austausch
- dezentralisiert
- Dezentraler Austausch
- Entwickler:in / Unternehmen
- Devin
- anders
- im
- ETH
- Astraleum
- Ethereum (ETH)
- ETHUSD
- Außer
- Austausch-
- Warenumtausch
- Ausnutzen
- Fest
- FOMO
- voller
- Genese
- hacken
- Hacker
- Hacker
- hier
- Verbergen
- Ultraschall
- HTTPS
- Identitätsschutz
- Krankengymnastik
- Information
- Investoren
- IT
- Kraken
- KYC
- führenden
- Liste
- Marktplatz
- Million
- mehr
- vor allem warme
- Natur
- Netzwerk
- NFT
- NFTs
- offiziell
- Eröffnung
- OpenSea
- Auftrag
- Anders
- Personen
- Phishing
- Plattform
- Plattformen
- Presse
- Prozessdefinierung
- Protokoll
- die
- vorausgesetzt
- veröffentlichen
- Lesebrillen
- berichten
- falls angefordert
- Überprüfen
- Gerüchte
- Laufen
- Said
- Sicherheitdienst
- verkaufen
- von Locals geführtes
- klein
- smart
- Smart Contracts
- So
- Tisch
- gestohlen
- Strategie
- Team
- basierte Online-to-Offline-Werbezuordnungen von anderen gab.
- Zeit
- heutigen
- Handel
- Trades
- Transaktion
- Transaktionen
- TX
- aufdecken
- Nutzer
- Wert
- Sicherheitslücken
- Wallet
- Webseite
- ohne
- würde
