OpenSea Private Auction Naalarma ng NFT Scammers

• Ang function na "gasless sales" ng OpenSea ay nagsilbing mahalagang sandata para sa mga hacker ng NFT. 
• Ang mga biktima ay kinakailangang pumirma ng isang hindi nakakapinsalang kontrata, katulad ng isang lagda sa pag-login.

Ang pinakamalaking NFT marketplace OpenSea ang mga gumagamit ay sumailalim sa panganib dahil sa isang bagong hack na kinasasangkutan ng isang tampok sa OpenSea sa pamamagitan ng mga website ng phishing. Habang tumataas ang kasikatan ng mga nonfungible token (NFT), ang mga scammer na madalas na nagtatangkang samantalahin ang mga user sa loob ng NFT market ay tumaas sa aktibidad. 

Ang OpenSea ay may feature na tinatawag na “gasless sales,” na nagbibigay-daan sa mga user na magbenta ng mga NFT sa pamamagitan ng mga kontrata sa pamamagitan ng pagpirma sa mga hindi nababasang mensahe. Noong Disyembre 23, Harpy, ang unang on-chain na firewall upang maiwasan ang mga hack. Inalertuhan ang mga user ng NFT sa pamamagitan ng isang tweet tungkol sa bagong pag-atake na kinasasangkutan ng mga walang gas na benta.

Paano Naakit ng Website ng Phishing ang mga User?

Dapat aprubahan ng mga user ang isang kahilingan sa lagda na may hindi nababasang mensaheng gagawin walang gas na mga benta sa OpenSea platform. Gayundin, maaaring payagan ng mga user ang mga pribadong auction na may hindi nababasang mga lagda gamit ang feature na ito. Gayunpaman, upang makapasok sa isang website ng phishing, ang mga biktima ay kinakailangang pumirma ng isang hindi nakakapinsalang kontrata na katulad ng isang "pirma sa pag-login."

Ayon sa annoupagpapatibay, ang login signature na ito ay isang alok na ibenta ang NFT ng mga user nang pribado para sa 0 ETH sa address ng hacker. Kapag napirmahan na ito ng mga user ng NFT, ililipat ang mga NFT sa wallet address ng hacker.

Sinabi ni Harpie na ang mga lagda ay madalas na ipinakita bilang isang hakbang na kinakailangan upang mag-log in at ma-access ang website. Sinabi ni Harpie na sa pamamagitan ng pagsasamantala sa tampok na mga hacker ng OpenSea ay nagawang magnakaw ng milyun-milyong digital asset. Nang maglaon, natagpuan ng eksperto ang pagkakaiba sa pagitan ng mga kahilingan ng mga scammer at mga gumagamit. 

Gayunpaman, itinuro din ni Harpie kung paano ninakaw ng isang manloloko ang 14 na Bored Ape NFT gamit ang feature na walang gas na lagda noong Disyembre 17. Nagsagawa ang hacker ng malawak na social engineering para pangunahan ang biktima sa isang pekeng website ng NFT. At pirmahan ang kontrata ng may hawak. Pagkatapos nito, ninakaw ang wallet ng biktima sa multi-bilyon.