تراخيص الأجهزة المتعددة (خصومات كبيرة)
Computer Security تصيد ملايين الدولارات في NFTs من مستخدمي OpenSea

تصيد ملايين الدولارات في NFTs من مستخدمي OpenSea

بواسطة Mura في Computer Security
ترجمة الى:
العربية

في حادثة لا ينبغي أن تكون مفاجأة لأي شخص بعد الارتفاع الكبير في شعبية الرموز غير القابلة للاستبدال ، تمكن ممثل ضار من سرقة ما يقرب من 2 مليون دولار من NFTs من مستخدمي سوق OpenSea NFT في هجوم تصيد في الوقت المناسب.

تعتبر OpenSea نفسها أكبر سوق لـ NFT في العالم. تقدم المنصة سوقًا من نظير إلى نظير لتبادل الرموز غير القابلة للاستبدال أو NFTs. بدأت المنصة عملية التحديث من أجل التعامل مع القوائم غير النشطة للرموز المميزة. تطلب هذا التحديث إجراء المستخدم وترحيل العقد ، لذلك أرسلت OpenSea إرشادات مفصلة إلى المستخدمين ، توضح ما يجب القيام به من جانب المستخدم.

التصيد في الوقت المناسب

ومع ذلك ، فإن ممثل التهديد الذي يقف وراء هجوم التصيد قد تصرف بسرعة وأرسل رسائل بريد إلكتروني للتصيد الاحتيالي إلى مستخدمي OpenSea. تم تصميم الطُعم ليبدو مشابهًا للرسالة الأصلية التي أرسلتها منصة OpenSea ، باستثناء الروابط الخبيثة الموجودة في رسائل البريد الإلكتروني المخادعة.

يعيد الرابط السيئ توجيه الضحايا إلى صفحة تصيّد تم التلاعب بها على وجه التحديد والتي تبدو تقريبًا مماثلة للصفحة التي تستخدمها OpenSea ، ولكن الصفحة الخبيثة تخبر المستخدمين أيضًا بتمكين "بيانات العقد الذكية" و "التوقيع المخفي" - وهو نص غير موجود في الموقع الرسمي صفحة OpenSea.

جاء المهاجم مستعدا

قام المهاجم الذي يقف وراء حملة التصيد الاحتيالي بإعداد عقد قبل شهر تقريبًا من الهجوم. بمجرد توقيع الضحايا على المعاملة الخبيثة على صفحة التصيد الاحتيالي ، فإنهم يرسلون طلب atomicMatch_ إلى عقد الجهة المسؤولة عن التهديد. يتم استخدام طلب atomicMatch_ بواسطة OpenSea للسماح بالمعاملات فقط في حالة استيفاء جميع معلمات التبادل.

وفقًا لفريق الأمن السيبراني مع Check Point الذي نشر منشورًا عن الهجوم ، تمكن ممثل التهديد من إعادة بيع NFTs المسروقة في الهجوم بسرعة وحقق حوالي 2 مليون دولار في هذه العملية.

يُظهر هذا الهجوم فقط أنه كلما تم توفير المزيد من الأماكن الرقمية ذات التوجه المالي ، سيتم تقديم المزيد من موجهات الهجوم والهجوم إلى الجهات الفاعلة في التهديد أيضًا. قد يظن المرء تقريبًا أن أي شخص يتعامل مع NFTs سيكون خبيرًا تقنيًا بدرجة كافية لاكتشاف الرابط السيئ والبريد الإلكتروني للتصيد الاحتيالي ، ولكن رؤية كيف تمت سرقة 2 مليون دولار من NFTs ، لا يبدو أن هذا هو الحال.

جار التحميل...