Ang tagapagtatag ng proyekto ng Ordinal Rugs ay nagsabi na ang mga hacker ay naka-target sa mga miyembro ng Bitcoin Rock Discord server noong Martes, na nagnakaw ng $1.47 BTC, humigit-kumulang $103,003, at 4 na BTC, humigit-kumulang $208,196, na halaga ng mga inskripsiyon ng Ordinal mula sa kanilang wallet.
Ang mga ordinal ay ang mainit na bagay sa mga digital collectible; mahigit 63 milyong inskripsiyon ang nai-minted sa Bitcoin blockchain, na may 6388 BTC sa mga bayarin hanggang ngayon, humigit-kumulang $450 milyon, ayon sa ulat ng Dune Analytics. Ginagawa nitong ang Bitcoin ay isang mapang-akit na target para sa mga hacker.
"Sa sampung taon na ginugol ko sa crypto, ito ang unang pagkakataon na nawalan ako ng malaking halaga ng pera sa pamamagitan ng hack/scam (pabayaan ang wallet drainer)," isiniwalat ng pseudonymous founder na si Archon sa isang tweet thread— pag-amin na siya ay naging pabaya, sa kabila ng pagpapatupad ng malakas na kontrol sa seguridad.
"Hindi ako basta-basta mag-op-sec," isinulat nila. “Na-authenticate ko ang lahat ng personal na pag-log in sa Yubikeys, at ang karamihan sa aking mga crypto asset/ordinal ay secure sa hardware + multi-sig wallet.”
Naubos ang Wallet, Isang Port-Mortem…
Mas maaga ngayon, nabiktima ako ng wallet drainer sa isa sa aking mga personal na hot wallet, nawalan ng 1.47 BTC at humigit-kumulang ~4 BTC na halaga ng mga ordinal ($300k+ USD)
Sa sampung taon na ginugol ko sa crypto, ito ang unang pagkakataon na nawalan ako ng malaking halaga… pic.twitter.com/nhsBDmrWWV
— Archon ⚡️ (@bitarchon) Marso 26, 2024
Ang mga pag-atake sa cyber na nagta-target sa mga crypto wallet ay karaniwan, at ang mga kilalang tao at kilalang komunidad ay madalas na tinatarget. Noong Mayo 2022, biktima ng phishing attack ang aktor na si Seth Green na ninakawan siya ng Bored Ape Yacht Club NFT. Habang ang mga magnanakaw ay tradisyunal na nagkoncentrate sa Ethereum at Solana blockchain, ang Ordinals ay ang mainit na bagong bagay, na kumukuha ng mga scammer—at naglalagay ng Bitcoin wallet sa kanilang mga crosshair.
Tulad ng ipinaliwanag ni Archon, nagsimula ang hack sa isang mensahe na ipinadala sa mga miyembro ng Bitcoin Rock Discord na nag-a-advertise ng giveaway ng sikat na Runestones Ordinals. Ang account ay may kasamang link sa isang nakakahamak na Magic Eden NFT website clone. Nang ikonekta ni Archon ang kanyang pitaka sa site at pinirmahan ang transaksyon, nagawang nakawin ng magnanakaw ang mga NFT.
"Hindi ko alam kung may ibang naapektuhan," sabi ni Archon I-decrypt. "Napagtanto ko [ang pagnanakaw] wala pang isang minuto pagkatapos lagdaan ang [transaksyon]."
Ginamit pa ng mga hacker ang isa sa mga ninakaw na inskripsiyon, 53,109,400, para bayaran ang transaction fee.
"Walang mga pondo/account/login na may kaugnayan sa [Ordinal Rugs] ang naapektuhan... ito ay sarili kong personal wallet at sarili ko lang ang dapat sisihin dito," sabi ni Archon. "Hindi na kailangang sabihin, hindi ko hahayaang mangyari muli ito."
Ayon sa blockchain security firm na Halborn, ang kakulangan ng due diligence at FOMO ay nagiging sanhi ng mga collectors na magkamali na karaniwang hindi nila gagawin.
"Sa pamamagitan ng pag-ping sa buong server, naisip niya na ang mensaheng iyon ay mula sa admin kaya likas niyang pinagkakatiwalaan ang URL na iyon at na-click ito," sabi ni Halborn COO David Schwed I-decrypt. "Kaya talagang isang piraso lamang ng social engineering at phishing."
Ang phishing ay isang uri ng cybercrime na sumusubok na magnakaw ng isang bagay na may halaga (sa kasong ito, isang NFT) sa pamamagitan ng mga mapanlinlang na email, website, o social media.
Binigyang-diin ni Schwed ang kadalian ng pag-clone ng isang website at sinabing ang mga gumagamit ng wallet ay dapat maging mas mapagbantay, kabilang ang pag-double-check ng mga URL ng website.
"May mga plugin na magagamit ng mga tao na maaaring mag-alerto sa kanila na ito ay isang pekeng domain," sinabi ni Schwed sa Decrypt. "Titingnan nito ang mga bagay tulad ng kapag nakarehistro ang domain."
Sinabi ni Schwed na isa pang opsyon ay ang paggamit ng mga extension ng browser na humaharang sa mga bagong obserbahan at bagong rehistradong domain.
Hindi gustong maiwan sa pagkahumaling sa Ordinals, nag-online ang isang maliit na industriya ng mga compatible na wallet, ngunit kulang sila sa kasaysayan at mahirap na karunungan na nakuha mula sa mga pag-atake na dinanas ng mas lumang NFT-friendly na mga wallet tulad ng MetaMask at Phantom. Ang mga beteranong provider ay may mga galos sa labanan upang patunayan ang kanilang pangako sa seguridad, ipinagmamalaki ang mga tampok tulad ng Blockaid at mga alerto sa nakakahamak na pag-atake na maaaring wala sa mga bagong wallet.
"Ang ilang mga wallet ay may ilang security built in, at ang iba ay wala," sabi ni Schwed, na binanggit ang pagsasama ng Metamask ng Blockaid noong nakaraang taon. "Marami sa kanila ang tumutuon sa mga matalinong kontrata, na maaaring dahilan kung bakit nila na-target ang BTC."
Inedit ni Ryan Ozawa.
Manatili sa balita sa crypto, makakuha ng mga pang-araw-araw na update sa iyong inbox.
Pinagmulan: https://decrypt.co/223592/bitcoin-ordinals-hot-wallet-discord-phishing-hack