سایتهای فیشینگ قربانیان را تشویق میکنند تا ناآگاهانه از NFTهای خود دست بکشند و ویژگی حراج خصوصی را راهی برای ورود به سیستم جلوه دهند.
با محبوبیت بیشتر توکنهای تغییرناپذیر (NFT)، بازیگران بد در فضا که دائماً سعی میکردند از کاربران سوءاستفاده کنند، فعالتر شدند. اکنون، یک حمله جدید شامل یک ویژگی در بازار NFT OpenSea، صاحبان NFT را از طریق سایتهای فیشینگ تهدید میکند.
در یک اعلامیه، پروژه ضد سرقت هارپی هشدار داد کاربران NFT یک هک جدید شامل فروش بدون گاز در پلتفرم OpenSea. به گفته هارپی، هکرها با استفاده از این ویژگی توانستند میلیون ها دارایی دیجیتال را به سرقت ببرند.
وقتی کاربران میخواهند در پلتفرم OpenSea فروش بدون گاز داشته باشند، باید یک درخواست امضا را با یک پیام غیرقابل خواندن تأیید کنند. با استفاده از این ویژگی، کاربران همچنین مجاز به ایجاد حراج خصوصی با امضاهای ناخوانا هستند.
هکرها موفق شده اند NFT ها را مانند جادو و با یک ویژگی کمتر شناخته شده OpenSea بدزدند. این جدیدترین هک است و میلیون ها نفر در Monkeys قبلاً از بین رفته اند.
(1/4) pic.twitter.com/fTK20WQrgh
– هارپی (@harpieio) 22 دسامبر 2022
به همین دلیل است که وب سایت های فیشینگ از این ویژگی استفاده می کنند تا از قربانیان خود بخواهند یکی از این پیام های ناخوانا را امضا کنند. به گفته هارپی، امضاها اغلب به عنوان یک مرحله ضروری برای ورود و دسترسی به وب سایت در نظر گرفته می شوند.
با این حال، پیام های ورود به سیستم در واقع درخواست های امضایی برای اجرای فروش خصوصی NFT های قربانی به کلاهبردار برای اتر 0 (ETH) هستند. اگر امضا شود، NFT ها را به آدرس کیف پول هکر ارسال می کند.
مربوط: توسعه دهندگان Web3 ادعا می کنند که پروژه ها ترجیح می دهند هک شوند تا پاداش
در کنار این کلاهبرداری، شرکت امنیتی بلاک چین CertiK نیز اخیراً هشداری به جامعه رمزنگاری در مورد آنچه که آنها به عنوان “فیشینگ یخ” توصیف می کنند، صادر کرده است. از طریق این اکسپلویت، کلاهبرداران کاربران Web3 را فریب می دهند تا مجوزهایی را امضا کنند که به مهاجمان اجازه می دهد توکن های خود را خرج کنند. CertiK خاطرنشان کرد که کلاهبرداری یک تهدید مهم و منحصر به فرد برای دنیای وب 3 است.
در 17 دسامبر، یک تحلیلگر توضیح داد که چگونه یک کلاهبردار ظاهراً از ویژگی امضای بندر بدون گاز برای سرقت 14 دستگاه Bored Ape NFT استفاده کرده است. پس از انجام مهندسی اجتماعی گسترده، هکر قربانی را به یک پلتفرم جعلی NFT هدایت کرد و سپس از مالک آن خواست تا قراردادی را امضا کند. به دنبال آن کیف پول مقتول خالی شد.
نویسنده: Ezra Reguerra