اخبار سردبیران- عملکرد «فروش بدون گاز» OpenSea به عنوان یک سلاح حیاتی برای هکرهای NFT عمل کرد.
- قربانیان ملزم به امضای قرارداد بی ضرر هستند، مشابه امضای ورود به سیستم.
بزرگترین بازار NFT OpenSea کاربران به دلیل هک جدیدی که شامل یک ویژگی در OpenSea از طریق وبسایتهای فیشینگ بود، در معرض خطر قرار گرفتند. با افزایش محبوبیت توکنهای غیرقابل تعویض (NFT)، کلاهبردارانی که اغلب سعی میکنند از کاربران در بازار NFT سوء استفاده کنند، فعالیت خود را افزایش دادهاند.
OpenSea دارای یک ویژگی به نام "فروش بدون گاز" است که به کاربران اجازه می دهد NFT ها را از طریق قرارداد با امضای پیام های ناخوانا بفروشند. در 23 دسامبر، هارپی، اولین فایروال زنجیره ای برای جلوگیری از هک. به کاربران NFT از طریق توییتی در مورد حمله جدید مربوط به فروش بدون گاز هشدار داد.
چگونه وب سایت فیشینگ کاربران را جذب کرد؟
کاربران باید یک درخواست امضا با یک پیام غیرقابل خواندن را تایید کنند فروش بدون گاز در پلت فرم OpenSea. همچنین، کاربران می توانند با استفاده از این ویژگی، حراج خصوصی با امضاهای ناخوانا را مجاز کنند. با این حال، برای ورود به یک وب سایت فیشینگ، قربانیان ملزم به امضای قرارداد بی ضرری هستند که شبیه به «امضای ورود» است.
با توجه به آنوuسیمان، این امضای ورود پیشنهادی برای فروش NFT کاربران به صورت خصوصی با 0 ETH به آدرس هکر است. هنگامی که کاربران NFT آن را امضا کردند، NFT ها به آدرس کیف پول هکر منتقل می شوند.
هارپی اظهار داشت که امضاها اغلب به عنوان مرحله ای ضروری برای ورود به وب سایت و دسترسی به وب سایت ارائه می شوند. هارپی ادعا می کند که هکرها با بهره گیری از ویژگی های OpenSea توانستند میلیون ها دارایی دیجیتال را به سرقت ببرند. بعداً کارشناس تفاوت بین درخواست های کلاهبرداران و کاربران را پیدا کرد.
با این حال، هارپی همچنین اشاره کرد که چگونه یک کلاهبردار ظاهراً 14 NFT Bored Ape را با استفاده از ویژگی امضای بدون گاز در 17 دسامبر دزدیده است. هکر مهندسی اجتماعی گسترده ای انجام داد تا قربانی را به یک وب سایت جعلی NFT هدایت کند. و دارنده قرارداد را امضا کند. پس از آن کیف پول مقتول به صورت چند میلیاردی به سرقت رفت.
منبع: https://thenewscrypto.com/opensea-private-auction-alarmed-by-nft-scammers/