- De "gasloze verkoop" -functie van OpenSea diende als een cruciaal wapen voor NFT-hackers.
- Slachtoffers moeten een onschadelijk contract ondertekenen, vergelijkbaar met een inloghandtekening.
De grootste NFT-marktplaats OpenSea gebruikers liepen risico als gevolg van een nieuwe hack met een functie op de OpenSea via phishing-websites. Naarmate nonfungible tokens (NFT's) in populariteit toenamen, zijn oplichters die regelmatig proberen te profiteren van gebruikers binnen de NFT-markt in activiteit toegenomen.
OpenSea heeft een functie genaamd "gasloze verkoop", waarmee gebruikers NFT's kunnen verkopen via contracten door onleesbare berichten te ondertekenen. op 23 dec. Harpij, de eerste on-chain firewall om hacks te voorkomen. Waarschuwde NFT-gebruikers via een tweet over de nieuwe aanval met gasloze verkoop.
Hoe trok de phishing-website gebruikers aan?
Gebruikers moeten een handtekeningverzoek goedkeuren met een onleesbaar bericht om te maken gasloze verkoop op het OpenSea-platform. Gebruikers kunnen met deze functie ook privéveilingen met onleesbare handtekeningen toestaan. Om toegang te krijgen tot een phishing-website, moeten slachtoffers echter een onschadelijk contract ondertekenen dat lijkt op een 'inloghandtekening'.
Volgens de annoucementeren, is deze aanmeldingshandtekening een aanbod om de NFT van gebruikers privé te verkopen voor 0 ETH aan het adres van de hacker. Nadat de NFT-gebruikers het hadden ondertekend, zouden de NFT's worden overgebracht naar het portemonnee-adres van de hacker.
Harpie verklaarde dat de handtekeningen vaak worden gepresenteerd als een stap die nodig is om in te loggen en toegang te krijgen tot de website. Harpie beweert dat hackers miljoenen digitale activa konden stelen door gebruik te maken van de functie van OpenSea. Later ontdekte de expert het verschil tussen verzoeken van oplichters en gebruikers.
Harpie wees er echter ook op hoe een fraudeur naar verluidt op 14 december 17 Bored Ape NFT's had gestolen met behulp van de gasloze handtekeningfunctie. De hacker voerde uitgebreide social engineering uit om het slachtoffer naar een nep-NFT-website te leiden. En laat het contract van de houder ondertekenen. Daarna werd de portemonnee van het slachtoffer voor meerdere miljarden gestolen.
Bron: https://thenewscrypto.com/opensea-private-auction-alarmed-by-nft-scammers/