NFT-verzamelaar verliest $ 2.7 miljoen aan Bored Ape NFT's en derivaten

NFT-verzamelaar Larry Lawliet verloor maandag zeven dure Bored Apes en een reeks andere NFT's door een vermoedelijke social engineering-aanval.

De dader bleek Lawliet te misleiden om neptransacties te ondertekenen waarmee ze toegang kregen tot zijn NFT's. Vervolgens gebruikten ze deze toegang om de NFT's over te zetten naar hun eigen portemonnee.

Lawliet nam op Twitter zei dat 13 van zijn NFT's waren gestolen door de aanvaller, waaronder zeven Bored Apes, vijf Mutant Apes en één Doodle. In totaal bedraagt ​​het verlies van Lawliet $ 2.7 miljoen op basis van de bodemprijs van de NFT's die uit zijn portemonnee zijn gestolen.

Hoe het gebeurde

De problemen van het slachtoffer begonnen toen een aanvaller (waarschijnlijk dezelfde persoon) onder controle te houden van de Discord-server van een andere NFT-verzameling genaamd Moschi Mochi om een ​​nep-aankondiging over een extra munt te plaatsen. De zwendel omvatte het uitnodigen van leden van de Moschi Mochi-gemeenschap om deel te nemen aan een extra munt van 1,000 NFT's om kans te maken op een loterij van $ 25,000.

Een blik op het portemonnee-adres van Lawliet op Etherscan laat zien dat hij interactie had met de nepmunt en 0.49 ETH stuurde in ruil voor 14 van de zwendel-NFT's. Onmiddellijk na de overdracht toont de transactiehistorie van Lawliet talrijke “set approval”-transacties.

Deze set-goedkeuringstransacties hadden allemaal het "0xD27"-adres van de hacker ingesteld als een goedgekeurd adres. Dit betekende dat het slachtoffer werd misleid om de oproep "setApprovalForAll" te gebruiken bij het ondertekenen van deze transacties met zijn eigen portemonnee.

De NFT's die zijn gestolen. Afbeelding: Twitter.

Een belangrijk punt hierbij is dat wanneer iemand een blockchain-transactie goedkeurt via een in-app-browser zoals MetaMask, het niet altijd duidelijk is welke rechten ze precies aan de website geven. In dit geval ging het slachtoffer ervan uit dat het reguliere transacties waren, terwijl hij in feite de controle over zijn eigen NFT's uitgaf.

Er is echter een functie op MetaMask waarmee gebruikers de exacte aard van hun transacties kunnen onderzoeken voordat ze worden uitgevoerd. Deze stap omvat het klikken op het tabblad "details" dat vervolgens details over de transactie weergeeft, inclusief essentiële informatie zoals adressen die worden goedgekeurd. Maar tijdens de haast voor een NFT-munt controleren beleggers dit misschien niet altijd.

Deze specifieke contractoproep - setApprovalForAll - stelde de hacker in staat om de "transferFrom" -contractoproep te starten, waardoor ze alle Bored Apes van het slachtoffer naar een andere portemonnee konden overbrengen. Bij het programmeren stelt een oproep een gebruiker in staat om de code van een ander contract uit te voeren, in dit geval de mogelijkheid om NFT's van het slachtoffer naar de hacker over te dragen.

Zodra de aanvaller toestemming had om de NFT's van het slachtoffer te beheren, begonnen ze deze naar een andere portemonnee te verplaatsen. De hacker kon deze methode gebruiken om de Bored Apes en andere NFT's te nemen, waaronder Mutant Apes en Doodles.

Mogelijke preventieve maatregelen

Eigenaars van populaire NFT-collecties zoals BAYC blijven het doelwit van social engineering-aanvallen die gericht zijn op het stelen van hun waardevolle NFT's. Op het moment van schrijven heeft de collectie een bodemprijs van meer dan 118 ETH ($ 320,000).

Als reactie op dit soort incidenten adviseren beveiligingsexperts over het algemeen het gebruik van 'burner wallets', adressen die slechts een kleine hoeveelheid geld bevatten om gaskosten te dekken. Als de transactie dus een phishing-aanval is, zal het verlies van het slachtoffer aanzienlijk worden beperkt.

Het verifiëren van transactiegegevens vóór goedkeuring kan ook een nuttige preventieve maatregel zijn. Als Tal Be'ery zet het, mogen goedkeuringen alleen naar "betrouwbare contracten" met een relatief lange transactiegeschiedenis gaan. Webportefeuilles zoals MetaMask tonen details van transacties en kunnen een handig hulpmiddel zijn bij het opsporen van phishing-aanvallen.

© 2022 The Block Crypto, Inc. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.