Kevin Rose, de CEO en oprichter van Proof, werd het slachtoffer van een schijnbaar Phishing aanval, met zijn gehackte portemonnee die naar schatting zeldzame NFT's ter waarde van miljoenen bevatte.
Na de diefstal werkte Rose samen met OpenSea om ervoor te zorgen dat de gestolen NFT's niet op de marktplaats konden worden verkocht, maar wel op een ander platform.
Zijn portemonnee zou woensdag 40 NFT's zijn kwijtgeraakt gegevens op NFT-marktplaats OpenSea waaruit blijkt dat de activa zijn overgedragen aan de aanvaller portemonnee.
Rose bevestigde de hack op een late donderdag tweet, zeggend dat hij details spoedig zou delen als waarschuwende heads-up. Hij heeft mogelijk activa van meer dan $ 1.4 miljoen verloren, inclusief NFT's van collecties zoals autoglyph, QQL Pass, Cool Cats, Damien Hirst's The Currency, Admit One en OnChainMonkey, volgens nft nu.
In een Twitter thread, heeft Proof's VP of Engineering Arran Schlosberg uitgesplitst wat er precies is gebeurd. Hij zei dat Rose was misleid om een kwaadaardige handtekening te ondertekenen waarmee de hacker toegang kreeg tot hoogwaardige tokens.
Schlosberg vermeldde niet wat Rose dacht dat hij tekende, maar de enkele misstap lijkt de hacker zijn portemonnee-inloggegevens te hebben gegeven.
“Dit was een klassiek staaltje social engineering, waarbij KRO een vals gevoel van veiligheid werd gegeven. Het technische aspect van de hack was beperkt tot het maken van handtekeningen die werden geaccepteerd door OpenSea's marktplaatscontract', schreef Schlosberg.
Hij voegde eraan toe dat de activa van Proof, die meestal meerdere goedkeuringen nodig hebben voor toegang, niet werden beïnvloed.
OpenSea heeft het verzoek van Blockworks om commentaar niet teruggestuurd op het moment van schrijven.
Het NFT-phishingprobleem
Blockchain-speurder ZachXBT beweerde dat dezelfde hacker die de controle over Rose's NFT's overnam, op dezelfde dag 75 ETH ($ 121,000) van een ander slachtoffer had gestolen. De hacker zou vervolgens de crypto-uitwisseling FixedFloat hebben gebruikt om het gestolen geld om te zetten in bitcoin, voordat het werd overgedragen aan een bitcoin-mixservice om de herkomst van het geld te verbergen.
Een andere cryptoliefhebber die op Twitter de naam 'foobar' draagt gesuggereerd hoe zo'n hack had kunnen worden voorkomen. Ze adviseerden een techniek die bekend staat als "wallet siloing", waarbij verschillende wallets voor verschillende doeleinden worden gescheiden en waardevolle NFT's uit de buurt van actieve hot wallets worden gehouden. Dit zou voorkomen dat de activa op NFT-marktplaatsen worden vermeld zonder afzonderlijke verkoopgoedkeuring - een verlies aan gemak, maar een verdediging tegen het soort val waarin Rose is gevallen.
Gebruik van een browserextensie zoals Brand, dat ondoorzichtige slimme contractcode vertaalt in herkenbare acties, zou Rose ook hebben getipt dat er iets naar vis rook voordat het te laat was.
Dit verhaal is bijgewerkt op 26 januari 2023 om 5:25 uur ET met aanvullende details.
Ontvang elke avond het beste cryptonieuws en inzichten van de dag in uw e-mail. Abonneer u op de gratis nieuwsbrief van Blockworks .
Wilt u dat alfa rechtstreeks naar uw inbox wordt gestuurd? Ontvang degen-handelsideeën, bestuursupdates, tokenprestaties, niet te missen tweets en meer van De dagelijkse debriefing van Blockworks Research.
Kan je niet wachten? Ontvang ons nieuws op de snelst mogelijke manier. Ga met ons mee op Telegram en volg ons op Google Nieuws.
Bron: https://blockworks.co/news/lessons-from-proof-founder-kevin-roses-1-4m-nft-phishing-experience