A csalók több millió dollárt adathalásznak ki NFT-ben az OpenSea felhasználóktól

Néhány nappal ezelőtt a Check Point biztonsági kutatói közzétettek egy blogbejegyzést, amely egy adathalász támadást részletezett, amely az OpenSea felhasználókat célozta meg, és ami a kutatók becslése szerint "milliókra" vezetett az ellopott NFT-kben.

Az OpenSea a "legnagyobb NFT piactérként" hirdeti magát, és egy P2P piacteret kínál a nem helyettesíthető tokenek vagy NFT-k cseréjére. A platform frissítési folyamaton ment keresztül, amely szerződéses migrációt igényelt. Ennek célja az volt, hogy gondoskodjanak a régi tokenek inaktív listáiról, ami viszont megköveteli a felhasználóktól, hogy tegyenek lépéseket a szerződéseik frissítése érdekében.

Adathalászat NFT-kért

Az OpenSea csapata részletes útmutatót küldött a felhasználóknak, amelyben elmagyarázza, hogyan kell pontosan kezelni az eljárást és áttelepíteni az NFT-adatokat. Egy fenyegetőző színész azonban elkapta ezt, és úgy döntött, hogy visszaél a helyzettel.

A csalók adathalász e-maileket küldtek, amelyek úgy néztek ki, mint az OpenSea által küldött hivatalos levelezés. Az üzenet törzse a legitim OpenSea üzenetek által használt eredeti szöveget másolja. A csalók azonban egy adathalász oldalra hivatkoznak. Amint felkerült az oldalra, az áldozatot felszólítják, hogy írjon alá egy tranzakciós űrlapot, amelyet ismét úgy alakítottak ki, hogy szinte pontosan ugyanúgy nézzen ki, mint a hivatalos OpenSea. A csaló oldal azonban arra utasítja a felhasználókat, hogy csatlakoztassák főkönyvi eszközüket, válassza ki az Ethereum alkalmazást, majd engedélyezze az „intelligens szerződésadatokat” és a „vak aláírást”. Ez a szöveg hiányzik az NFT platform eredeti üzenetéből.

Miután az áldozat aláírja a felajánlott tranzakciót, kérést küldenek a támadó szerződésére, amely nagyjából egy hónappal az adathalász támadás előtt jött létre. Magát a kérést atomicMatch_-nek hívják, és az NFT platformon történő kereskedésekben használják. A Check Point kifejtette, hogy az "atomi" arra a tényre utal, hogy a tranzakció csak akkor valósul meg, ha minden paraméter teljesül.

A kutatócsoport szerint úgy tűnik, hogy az NFT-k ellopására használt számlán új 2 millió dollár értékű ellopott és továbbértékesített NFT-k jelentek meg.

The Rush for Non-Fungibles

Az NFT-k nagyon felkapott témává váltak az elmúlt hónapokban, odáig, hogy már nem csak a tartalomkészítők és márkák érdeklődnek irántuk, de még a hatalmas szórakoztató- és játékcégek is elkezdtek szorgalmazni a rendszeres megvalósításuk felé. A téma ellentmondásos, és bár sok kripto-rajongó támogatja az NFT-t, sokan mások úgy gondolják, hogy az NFT alapvetően egy nagyon kidolgozott módja annak, hogy meggyőzzék az embereket, hogy váljanak meg pénzüktől.

Ez a legutóbbi baleset csak azt mutatja, hogy a kriptopiacterekhez és tőzsdékhez hasonlóan az NFT piactereket is a fenyegetés szereplői veszik célba, és megjelenni fognak a hírekben, mivel minél jobban növekszik ez a fajta infrastruktúra és felhasználói bázis, annál nagyobb a támadási felület. a fenyegetés szereplői számára is elérhető lesz.