De maker van de Moonbirds NFT-collectie, Kevin Rose, heeft ongeveer $ 1 miljoen aan NFT's verloren nadat hij het slachtoffer was geworden van een portemonnee-exploit.
Rose verloor een aantal NFT's, waaronder 25 Chronie Squiggles en een Autoglyph NFT. De hack werd door Rose zelf bevestigd op zijn Twitter-account.
Een verlies van een miljoen dollar
Kevin Rose, de mede-oprichter van de Moonbirds NFT-collectie, is het slachtoffer geworden van een phishing-zwendel en verloor meer dan $ 1.1 miljoen aan NFT's uit zijn persoonlijke collectie. Rose bevestigde de hack op zijn Twitter-account en een blik op de transactiegeschiedenis voor Rose's portemonnee op OpenSea onthult de omvang van de hack. Rose verloor verschillende NFT's, zoals OnChainMonkeys, Squiggles en Cool Cats. Rose verklaarde op Twitter,
“Ik ben net gehackt; blijf op de hoogte voor details - koop alstublieft geen kronkels totdat we ze hebben gemarkeerd (net 25 verloren) + een paar andere NFT's (een autoglyph).
Rose kon echter zijn meest waardevolle NFT's redden door ze in een aparte kluis te bewaren. Deze NFT's bevatten een Zombie CryptoPunk (CryptoPunk #5066), waarvan er slechts 87 andere NFT's zijn. Gebruikers speculeerden dat de portemonnee in kwestie was gecompromitteerd omdat Rose een kwaadaardige zeehavenbundel had ondertekend. Met een zeehavenbundel kunnen gebruikers meerdere activa ruilen voor andere items van dezelfde waarde. Rose, van zijn kant, drong er bij gebruikers op aan geen Squiggle NFT's te kopen terwijl zijn team eraan werkte om ze als gestolen te laten markeren.
Details van de hack
Details over hoe de hack plaatsvond, kwamen al snel naar buiten. Er werd onthuld dat de hack hoogstwaarschijnlijk plaatsvond nadat hij een kwaadaardige handtekening had goedgekeurd, waardoor de aanvaller een aanzienlijk aantal NFT's van Rose uit de portemonnee kon halen. Uit een analyse van de hack bleek dat de aanvaller erin slaagde om ten minste één Autoglyph, met een bodemprijs van 345 ETH, Chromie Squiggles, die ongeveer 332.5 ETH waard waren, en negen OnChainMonkey-items, ter waarde van ongeveer 7.2 ETH, over te hevelen.
De vice-president van PROOF, de entiteit achter de Moonbirds-collectie, Arran Schlosberg, weidde uit over de hack op Twitter en onthulde dat Rose het slachtoffer was van een phishing-exploit die hem ertoe verleidde een kwaadaardige handtekening te ondertekenen en de aanvaller in staat stelde de betreffende NFT's te stelen.
“Eerder op de avond werd @kevinrose gephisht om een kwaadaardige handtekening te ondertekenen waarmee de hacker een groot aantal hoogwaardige tokens kon overdragen. Hier is een overzicht van wat er is gebeurd, onze onmiddellijke reactie en onze voortdurende inspanningen. Dit was een klassiek stukje social engineering, waarbij KRO een vals gevoel van veiligheid werd gegeven. Het technische aspect van de hack was beperkt tot het maken van handtekeningen die werden geaccepteerd door OpenSea's marktplaatscontract."
Crypto-analist foobar legde uit dat Rose een OpenSea-marktplaatscontract had goedgekeurd om al zijn NFT's te verplaatsen wanneer hij transacties ondertekende, en verklaarde dat Rose altijd één kwaadwillende handtekening verwijderd was van een ramp. De analist voegde eraan toe dat Rose zijn vermogen in een aparte portemonnee had moeten stoppen.
"Het verplaatsen van activa van uw kluis naar een aparte 'verkoop'-portemonnee voordat u op NFT-marktplaatsen noteert, voorkomt dit."
De kwaadaardige handtekening werd mogelijk gemaakt door het Seaport Marketplace-contract, dat, hoewel het een krachtige tool is, ook gevaarlijk is als gebruikers niet weten hoe het werkt.
Gestolen activa onderweg
Foobar onthulde ook dat de gestolen activa ver boven hun bodemprijs werden gewaardeerd, wat betekent dat het verlies aanzienlijk groter zou kunnen zijn. On-chain crypto-analist ZachXBT volgde de gestolen activa en onthulde dat de uitbuiter de activa naar FixedFloat stuurde, een uitwisseling op het Bitcoin Lightning Network. Het geld werd vervolgens omgewisseld naar BTC en gestort in een Bitcoin-mixer.
“Drie uur geleden werd Kevin gephisht voor meer dan $ 1.4 miljoen aan NFT's. Eerder vandaag stal dezelfde oplichter 75 ETH van een ander slachtoffer. Als we dit in kaart brengen, zien we een duidelijke trend om het gestolen geld naar FixedFloat te sturen en te ruilen voor BTC voordat het wordt gestort op een bitcoin-mixer.
Bankless-oprichter Ryan Sean Adams wees op het gemak waarmee Rose werd uitgebuit en spoorde front-end-engineers aan om de gebruikerservaring te verbeteren.
Disclaimer: dit artikel is alleen bedoeld voor informatieve doeleinden. Het wordt niet aangeboden en is niet bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
Bron: https://cryptodaily.co.uk/2023/01/moonbirds-creator-loses-1-million-in-nfts-after-wallet-exploit