گیرنده های کلیدی
- OpenSea یک آسیب پذیری در سرور Discord خود را صبح جمعه تایید کرد.
- یک هکر به کاربران دستور داد تا «عبورهای جنسیس نینت» جعلی را از یک پیوند فیشینگ برش دهند.
- دادههای زنجیرهای نشان میدهد که ضرر و زیان ناشی از هک در حال حاضر ناچیز است و تنها شش کاربر NFTs را از دست دادهاند.
این مقاله را به اشتراک بگذارید
سرور OpenSea Discord بامداد جمعه هک شد. مجموعهای از پستها از یک ربات سرور OpenSea Discord به خطر افتاده، به کاربران دستور داد تا «عبور جنسیس Mint» را از یک پیوند فیشینگ برش دهند.
سرور OpenSea Discord هک شد
Discord بزرگترین بازار NFT هک شد.
A صدای جیر جیر از پشتیبانی رسمی OpenSea توییتر تأیید کرد که یک آسیبپذیری در سرور Discord بازار صبح جمعه وجود دارد.
اولین پست هکر، که در کانال اطلاعیهها در ساعت 4:04 صبح UTC ظاهر شد، بیان کرد که OpenSea "با یوتیوب شریک شده است تا جامعه خود را به فضای NFT برساند." در ادامه این پست آمده است که این مشارکت شامل انتشار 100 «معامله Genesis Mint» است که به دارندگان این امکان را میدهد تا پروژههای مشترک را به صورت رایگان ضرب کنند. این پست با پیوندی به یک وبسایت ضربکاری جعلی طراحی شده بود تا کاربران را فریب دهد تا تراکنشی را امضا کنند که به هکر امکان انتقال NFTها را از کیف پول خود میدهد.
به نظر می رسد که هکر توانسته بود تا مدتی قبل از اینکه کارمندان OpenSea بتوانند کنترل خود را به دست گیرند، حضور خود را در سرور حفظ کند. هکر موفق شد پیگیریهای اعلامیه جعلی اولیه را ارسال کند، پیوند جعلی را مجدداً منتشر کند و بیان کند که 70٪ از عرضه قبلاً در تلاش برای ایجاد "ترس از دست دادن" در کاربران ناآگاه ساخته شده است.
داده های زنجیره ای از Etherscan نشان می دهد که ضررهای ناشی از هک در حال حاضر اندک است. در مجموع، به نظر می رسد تا کنون تنها شش کیف پول تحت تأثیر قرار گرفته اند، با ارزش ترین NFT سرقت شده، ConiunPass با ارزش بازار حدود 0.84 ETH یا 2,300 دلار.
گزارش های اولیه حاکی از آن است که هکر از وب هوک های سرور OpenSea Discord برای دسترسی به کنترل های سرور سوء استفاده کرده است. وب هوک یک افزونه سرور است که داده های بلادرنگ را برای سایر برنامه ها فراهم می کند. در حالی که وب هوک ها عملکرد مفیدی دارند، اما به طور فزاینده ای به عنوان یک بردار حمله توسط هکرها استفاده می شوند زیرا اجازه می دهند پیام ها از حساب های سرور رسمی برای کاربران ارسال شوند.
سرور OpenSea Discord تنها سروری نیست که اخیراً قربانی یک حمله webhooks شده است. در آغاز ماه آوریل، Discords چندین مجموعه برجسته NFT، از جمله Bored Ape Yacht Club، Doodles و KaijuKings بودند. در معرض خطر با استفاده از یک اکسپلویت مشابه، به یک هکر اجازه می دهد تا لینک های فیشینگ را با استفاده از حساب های سرور رسمی پست کند.
این داستان در حال شکستن است و با در دسترس بودن اطلاعات بیشتر به روز خواهد شد.
تشکر ویژه از HttpPwnHub برای شناسایی کیف پول هکر.
افشا: در زمان نوشتن این مقاله، نویسنده مالک ETH و چندین ارز دیجیتال دیگر بود.
این مقاله را به اشتراک بگذارید
منبع: https://cryptobriefing.com/latest-opensea-attack-sees-hacker-infiltrate-discord/?utm_source=feed&utm_medium=rss