Ang kolektor ng NFT na si Larry Lawliet ay nawala ang pitong mamahaling Bored Apes at isang set ng iba pang mga NFT sa isang pinaghihinalaang pag-atake ng social engineering noong Lunes.
Lumilitaw na niloloko ng salarin si Lawliet sa pagpirma ng mga pekeng transaksyon na nagbigay sa kanila ng access sa kanyang mga NFT. Pagkatapos ay ginamit nila ang access na ito upang ilipat ang mga NFT sa kanilang sariling pitaka.
Lawliet kinuha sa Twitter na nagsasabing 13 sa kanyang mga NFT ang ninakaw ng umaatake kabilang ang pitong Bored Apes, limang Mutant Apes, at isang Doodle. Sa kabuuan, ang pagkalugi ni Lawliet ay nasa $2.7 milyon batay sa floor price ng mga NFT na ninakaw mula sa kanyang pitaka.
Paano ito nangyari
Nagsimula ang mga problema ng biktima nang kumuha ng attacker (malamang ang parehong tao). kontrol ng Discord server ng isa pang koleksyon ng NFT na tinatawag na Moschi Mochi para mag-post ng pekeng anunsyo tungkol sa dagdag na mint. Kasama sa scam ang pag-imbita sa mga miyembro ng Moschi Mochi community na lumahok sa dagdag na mint ng 1,000 NFTs para sa pagkakataong manalo ng $25,000 raffle.
Ang isang pagtingin sa wallet address ni Lawliet sa Etherscan ay nagpapakita na siya ay nakipag-ugnayan sa pekeng mint at nagpadala ng 0.49 ETH kapalit ng 14 sa mga scam na NFT. Kaagad pagkatapos ng paglilipat, ang kasaysayan ng transaksyon ni Lawliet ay nagpapakita ng maraming "itakdang pag-apruba" na mga transaksyon.
Itong mga nakatakdang transaksyon sa pag-apruba ay lahat ay may nakatakdang "0xD27" address ng hacker bilang isang naaprubahang address. Nangangahulugan ito na ang biktima ay nalinlang sa pagtawag sa "setApprovalForAll" na tawag kapag pumirma sa mga transaksyong ito gamit ang kanyang sariling pitaka.
Ang mga NFT na ninakaw. Larawan: kaba.
Ang isang mahalagang bagay dito ay kapag ang isang tao ay nag-apruba ng isang blockchain na transaksyon sa pamamagitan ng isang in-app na browser tulad ng MetaMask, hindi palaging malinaw kung ano mismo ang mga pahintulot na ibinibigay nila sa website. Sa kasong ito, ipinagpalagay ng biktima na sila ay regular na mga transaksyon ngunit sa katunayan ay binibigyan niya ng kontrol ang kanyang sariling mga NFT.
Gayunpaman, mayroong isang tampok sa MetaMask na nagpapahintulot sa mga gumagamit na suriin ang eksaktong katangian ng kanilang mga transaksyon bago isagawa ang mga ito. Kasama sa hakbang na ito ang pag-click sa tab na "mga detalye" na nagpapakita ng mga detalye tungkol sa transaksyon kasama ang mahahalagang impormasyon tulad ng mga address na binibigyan ng pag-apruba. Ngunit sa panahon ng pagmamadali para sa isang NFT mint, maaaring hindi ito palaging suriin ng mga namumuhunan.
Ang partikular na tawag sa kontrata — setApprovalForAll — ay nagbigay-daan sa hacker na simulan ang tawag sa kontrata na “transferFrom” na nagbigay-daan sa kanila na ilipat ang lahat ng Bored Apes ng biktima sa isa pang wallet. Sa programming, ang isang tawag ay nagpapahintulot sa isang user na isagawa ang code ng isa pang kontrata, sa kasong ito, ang kakayahang maglipat ng mga NFT mula sa biktima patungo sa hacker.
Kapag may pahintulot ang umaatake na kontrolin ang mga NFT ng biktima, sinimulan nilang ilipat ang mga ito sa ibang wallet. Nagamit ng hacker ang paraang ito para kunin ang Bored Apes at iba pang NFT kabilang ang Mutant Apes at Doodles.
Posibleng mga hakbang sa pag-iwas
Ang mga nagmamay-ari ng mga sikat na koleksyon ng NFT tulad ng BAYC ay patuloy na nagiging target ng mga pag-atake sa social engineering na naglalayong nakawin ang kanilang mahahalagang NFT. Sa oras ng pagsulat, ang koleksyon ay may floor price na higit sa 118 ETH ($320,000).
Bilang tugon sa mga insidenteng tulad nito, karaniwang pinapayuhan ng mga eksperto sa seguridad ang paggamit ng "burner wallet," mga address na naglalaman lamang ng maliit na halaga ng mga pondo upang mabayaran ang mga bayarin sa gas. Kaya, kung ang transaksyon ay isang pag-atake sa phishing, ang pagkawala ng biktima ay magiging lubhang limitado.
Ang pag-verify sa mga detalye ng transaksyon bago aprubahan ay maaari ding maging kapaki-pakinabang na hakbang sa pag-iwas. Bilang Tal Be'ery ilagay mo, ang mga pag-apruba ay dapat lamang mapunta sa "mga mapagkakatiwalaang kontrata" na may medyo mahabang kasaysayan ng transaksyon. Ang mga web wallet tulad ng MetaMask ay nagpapakita ng mga detalye ng mga transaksyon at maaaring maging isang kapaki-pakinabang na tool sa pagtukoy ng mga pag-atake ng phishing.
© 2022 Ang Block Crypto, Inc. Lahat ng Karapatan ay Nakareserba. Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pinansiyal, o iba pang payo.
Pinagmulan: https://www.theblockcrypto.com/post/132567/nft-collector-loses-2-7-million-in-bored-ape-nfts-and-derivatives?utm_source=rss&utm_medium=rss