Si Kevin Rose, ang CEO at tagapagtatag ng Proof, ay naging biktima ng isang maliwanag Phishing pag-atake, kasama ang kanyang na-hack na wallet na tinatayang may hawak na mga bihirang NFT na nagkakahalaga ng milyun-milyon.
Pagkatapos ng pagnanakaw, nakipagtulungan si Rose sa OpenSea upang matiyak na ang mga ninakaw na NFT ay hindi maibebenta sa marketplace nito, ngunit maaari pa rin silang ibenta sa ibang platform.
Ang kanyang wallet ay sinasabing nawalan ng 40 NFT noong Miyerkules, na may data sa NFT marketplace OpenSea na nagpapakita ng mga asset ay inilipat sa attacker's wallet.
Kinumpirma ni Rose ang hack noong huling bahagi ng Huwebes tiririt, na nagsasabi na magbabahagi siya ng mga detalye sa lalong madaling panahon bilang isang babala heads-up. Maaaring nawalan siya ng mga asset pataas ng $1.4 milyon kabilang ang mga NFT mula sa mga koleksyon tulad Autoglyph, QQL Pass, Cool Cats, Damien Hirst's The Currency, Admit One at OnChainMonkey, ayon sa nft ngayon.
Sa isang Twitter thread, sinira ng Proof's VP of Engineering na si Arran Schlosberg kung ano ang eksaktong bumaba. Sinabi niya na nalinlang si Rose sa pagpirma ng isang malisyosong lagda na nagpapahintulot sa hacker na makakuha ng access sa mga token na may mataas na halaga.
Hindi binanggit ni Schlosberg kung ano ang iniisip ni Rose na pinipirmahan niya, ngunit ang nag-iisang maling hakbang ay lumilitaw na nagbigay sa hacker ng kanyang mga kredensyal sa wallet.
"Ito ay isang klasikong piraso ng social engineering, nililinlang ang KRO sa isang maling pakiramdam ng seguridad. Ang teknikal na aspeto ng hack ay limitado sa paggawa ng mga lagda na tinanggap ng kontrata ng marketplace ng OpenSea,” isinulat ni Schlosberg.
Idinagdag niya na ang mga asset ng Proof, na kadalasang nangangailangan ng maraming pag-apruba para sa pag-access, ay hindi naapektuhan.
Hindi ibinalik ng OpenSea ang kahilingan ng Blockworks para sa komento sa oras ng press.
Ang problema sa NFT phishing
Blockchain sleuth ZachXBT inaangkin na ang parehong hacker na kumuha ng kontrol sa mga NFT ni Rose ay nagnakaw ng 75 ETH ($121,000) mula sa isa pang biktima sa parehong araw. Pagkatapos ay ginamit umano ng hacker ang crypto exchange na FixedFloat upang i-convert ang mga ninakaw na pondo sa bitcoin, bago ilipat ang mga ito sa isang serbisyo ng paghahalo ng bitcoin upang itago ang pinagmulan ng mga pondo.
Isa pang crypto enthusiast na tinatawag na 'foobar' sa Twitter iminungkahi kung paano napigilan ang naturang hack. Inirerekomenda nila ang isang pamamaraan na kilala bilang "wallet siloing," na kinabibilangan ng paghihiwalay ng iba't ibang mga wallet para sa iba't ibang layunin, at pag-iwas sa mahahalagang NFT mula sa anumang aktibong hot wallet. Haharangan nito ang mga asset mula sa pagkakalista sa mga NFT marketplace nang walang hiwalay na pag-apruba sa pagbebenta - isang pagkawala ng kaginhawahan, ngunit isang depensa laban sa uri ng bitag na nahulog kay Rose.
Paggamit ng extension ng browser tulad ng Sunog, na nagta-translate ng opaque na smart contract code sa mga makikilalang pagkilos, sasabihin din kay Rose na may amoy na malansa bago maging huli ang lahat.
Na-update ang kuwentong ito noong Ene. 26, 2023, sa 5:25 am ET na may karagdagang detalye.
Kunin ang nangungunang balita at mga insight sa crypto sa araw na ito sa iyong email tuwing gabi. Mag-subscribe sa libreng newsletter ng Blockworks ngayon.
Gustong direktang ipadala ang alpha sa iyong inbox? Kumuha ng mga ideya sa pangangalakal ng degen, mga update sa pamamahala, pagganap ng token, mga hindi mapapalampas na tweet at higit pa mula sa Pang-araw-araw na Debrief ng Blockworks Research.
Hindi makapaghintay? Kunin ang aming balita sa pinakamabilis na paraan na posible. Sumali sa amin sa Telegram at sundan kami sa Google News.
Pinagmulan: https://blockworks.co/news/lessons-from-proof-founder-kevin-roses-1-4m-nft-phishing-experience