OpenSea privát aukciót riasztottak az NFT csalói

• Az OpenSea „gázmentes értékesítési” funkciója döntő fegyverként szolgált az NFT-hackerek számára. 
• Az áldozatoknak ártalmatlan szerződést kell aláírniuk, hasonlóan a bejelentkezési aláíráshoz.

A legnagyobb NFT piactér OpenSea a felhasználókat egy új feltörés okozta, amely az OpenSea egyik funkcióját érintette adathalász webhelyeken keresztül. A nem helyettesíthető tokenek (NFT-k) népszerűségének növekedésével megnőtt azok a csalók, akik gyakran próbálják kihasználni a felhasználókat az NFT-piacon. 

Az OpenSea rendelkezik egy „gázmentes értékesítés” nevű funkcióval, amely lehetővé teszi a felhasználók számára, hogy olvashatatlan üzenetek aláírásával szerződések keretében értékesítsenek NFT-ket. december 23-án, Hárpia, az első láncon belüli tűzfal a feltörések megelőzésére. Tweetben értesítette az NFT-felhasználókat a gáz nélküli értékesítéssel kapcsolatos új támadásról.

Hogyan vonzotta a felhasználókat az adathalász webhely?

A felhasználóknak jóvá kell hagyniuk egy olvashatatlan üzenettel ellátott aláírási kérelmet gázmentes értékesítés az OpenSea platformon. Ezenkívül a felhasználók ezzel a funkcióval engedélyezhetik az olvashatatlan aláírásokat tartalmazó privát aukciókat. Az adathalász webhelyre való belépéshez azonban az áldozatoknak ártalmatlan szerződést kell aláírniuk, amely hasonló a „bejelentkezési aláíráshoz”.

Szerint annoucement, ez a bejelentkezési aláírás egy ajánlat a felhasználók NFT-jének privát eladására 0 ETH-ért a hacker címére. Miután az NFT-felhasználók aláírták, az NFT-k átkerülnek a hacker pénztárca címére.

Harpie kijelentette, hogy az aláírásokat gyakran a bejelentkezés és a webhely eléréséhez szükséges lépésként jelenítik meg. Harpie azt állítja, hogy az OpenSea szolgáltatásainak kihasználásával a hackerek több millió digitális eszközt tudtak ellopni. Később a szakértő rájött a különbségre a csalók kérései és a felhasználók között. 

Harpie azonban arra is rámutatott, hogy december 14-én egy csaló állítólag 17 Bored Ape NFT-t lopott el a gázmentes aláírás funkció használatával. A hacker kiterjedt szociális manipulációt hajtott végre, hogy az áldozatot egy hamis NFT-webhelyre irányítsa. És írja alá a tulajdonosi szerződést. Ezt követően több milliárdos nagyságrendben ellopták az áldozat pénztárcáját.