Populárny trh NFT OpenSea sa stal obeťou ďalšieho hacku. Tentoraz útočníci hackli jeho Discord a použili ho na propagáciu podvodu.
OpenSea zverejnila príspevok na Twitteri, ktorý znie:
We are currently investigating a potential vulnerability in our Discord, please do not click on any links in the Discord.
— OpenSea Support (@opensea_support) May 6, 2022
Podobné vyjadrenia sa objavili aj na serveri Discord. Členovia špecializovaného kanála na nahlasovanie podvodov tiež zdieľali snímky obrazovky tohto konkrétneho podvodu. Snímka obrazovky ukazuje bota OpenSea, ktorý oznamuje, že „YouTube oficiálne spolupracuje s OpenSea na tom, aby priviedla ich komunitu do priestoru NFT.“
Podľa informácií, ktoré zdieľal ďalší používateľ Twitteru, hackeri zverejnili inzerát o možnosti prelomiť NFT vytvorenú v spolupráci s YouTube.
#PeckShieldAlert #phishing @opensea discord is exploited, youtubenft[.]art is the phishing site. Do *NOT* fall prey to it! https://t.co/RAcRjEfuub pic.twitter.com/rjqMpTnpjW
— PeckShieldAlert (@PeckShieldAlert) May 6, 2022
PeckShield identifikoval odkaz v informačnom kanáli reklamy ako phishingovú stránku. Nie je známe, či existujú nejakí používatelia, ktorí sa stali obeťou útoku.
Nie je to prvýkrát
Nie je to prvýkrát, čo sa OpenSea dostala do problémov. Vo februári sa platforma stala obeťou hackerov, ktorým sa podarilo ukradnúť stovky nekonvertibilných tokenov. Celková hodnota majetku získaného hackermi sa vtedy pohybovala okolo 1,7 milióna dolárov.
Útok zasiahol 32 používateľských účtov. Podľa Devina Finzera, spoluzakladateľa a generálneho riaditeľa OpenSea, krádež začala phishingovým útokom na obete.
As far as we can tell, this is a phishing attack. We don’t believe it’s connected to the OpenSea website. It appears 32 users thus far have signed a malicious payload from an attacker, and some of their NFTs were stolen.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Od útočníka dostali falošné správy. Zdá sa, že e-maily boli oficiálne odoslané operátorom OpenSea a obsahovali požiadavku na prenesenie používateľských ponúk do nového smart kontraktu.
Keď napadnutí používatelia OpenSea klikli na odkaz v e-maile, boli vyzvaní, aby podpísali inteligentnú zmluvu hackerov, čo útočníkom umožnilo zmocniť sa ich tokenov.
Po odcudzení NFT neznámy hacker (alebo celá skupina) niektoré z nich predal. Zaujímavé je, že niektoré z nich boli vrátené právoplatným majiteľom.
zdroj: blockchain.news