Ang OpenSea, isang non-fungible token marketplace, ay naging biktima ng hack sa pangunahing Discord channel nito. Ang paglabag ay nagbigay-daan sa mga banta ng aktor na mag-post ng mga pekeng anunsyo tungkol sa pakikipagsosyo sa pagitan ng OpenSea at iba pang mga proyekto.
Na-hack ang Discord channel ng OpenSea
Ibinahagi ng OpenSea ang isang screenshot noong Mayo 6 na nagpapakita ng pekeng balita tungkol sa mga partnership. Ang screenshot ay naglalaman din ng isang link sa isang phishing website. Ang opisyal na Twitter account para sa suporta ng OpenSea ay nag-post na ang Discord server para sa NFT marketplace ay nilabag noong Biyernes ng umaga. Nagbigay pa ang kumpanya ng babala sa mga user, na hinihimok silang huwag sundin ang alinman sa mga link na nai-post sa channel.
Ang unang post na ginawa ng hacker ay may kasamang channel ng anunsyo na nagsasabing ang NFT marketplace ay "nakipagsosyo sa YouTube upang dalhin ang kanilang komunidad sa NFT Space." Sinabi rin ng kumpanya na maglalathala ito ng mint pass sa OpenSea upang payagan ang mga may hawak na mag-mint ng kanilang proyekto sa NFT nang walang bayad.
Ang hacker ay nanatili sa server nang mahabang panahon bago mabawi ng OpenSea ang account. Gayunpaman, ang hacker ay nakagawa na ng ilang mga pagtatangka upang ma-trigger ang mga user na tumugon sa anunsyo sa pamamagitan ng paglalagay ng takot na mawala. Ang hacker ay nag-post ng mga follow-up na post, at inaangkin nito na 70% ng supply ay nai-minted.
Sinubukan din ng hacker na akitin ang mga gumagamit sa OpenSea sa pamamagitan ng pagsasabing mag-aalok ang YouTube ng "mga nakakabaliw na kagamitan." Ang mga utility na ito ay ibibigay sa mga nag-claim ng mga NFT. Sinabi rin nila na ang alok ay magiging kakaiba at ang mga karagdagang round ay hindi kakailanganin para sa pakikilahok.
Ipinapakita ng on-chain metrics na 13 wallet ang nakompromiso sa ngayon, at ang pinakamahalagang NFT na ninakaw ay Founders' Pass, na nagkakahalaga ng 3.33 Ether, katumbas ng humigit-kumulang $8900.
Ang mga webhook ay nauugnay sa paglabag sa server
Ang mga unang ulat ay nagsabi na ang nanghihimasok ay nagpatibay ng Webhooks upang ma-access ang mga kontrol ng server. Ang mga webhook ay mga server plugin na nagbibigay-daan sa ibang software na makatanggap ng real-time na impormasyon. Ang mga webhook ay nakakakuha ng mas mataas na paggamit bilang isang vector ng pag-atake para sa mga hacker dahil pinapadali nila ang pagmemensahe gamit ang mga opisyal na account ng server.
Ang mga webhook ay hindi lamang ginamit upang atakehin ang OpenSea discord server ngunit ginamit din upang atakehin ang mga sikat na koleksyon ng NFT. Ang Bored Ape Yacht Club, KaijuKIngs at Doodles ay nilabag noong unang bahagi ng nakaraang buwan matapos pagsamantalahan ang katulad na kahinaan na nagpapahintulot sa mga hacker na gamitin ang mga opisyal na server account upang mag-publish ng mga link sa phishing.
Ang iyong kapital ay nasa peligro.
Magbasa nang higit pa:
Pinagmulan: https://insidebitcoins.com/news/opensea-discord-server-hacked-increasing-the-risk-of-phishing-scams