Лицензии на несколько устройств (оптовые скидки)
Computer Security Миллионы долларов в NFT украли у пользователей OpenSea

Миллионы долларов в NFT украли у пользователей OpenSea

К Mura году в Computer Security году
Перевести на:
Русский

В инциденте, который не должен никого удивлять после дикого всплеска популярности невзаимозаменяемых токенов, злоумышленнику удалось украсть NFT на сумму около 2 миллионов долларов у пользователей торговой площадки OpenSea NFT в ходе своевременной фишинговой атаки.

OpenSea позиционирует себя как крупнейший рынок NFT в мире. Платформа предлагает одноранговую торговую площадку для обмена невзаимозаменяемыми токенами или NFT. Платформа начала процесс обновления, чтобы справиться с неактивными листингами токенов. Это обновление требовало действий пользователя и переноса контракта, поэтому OpenSea разослала пользователям подробные инструкции, объясняющие, что необходимо сделать со стороны пользователя.

Фишинг в нужное время

Однако злоумышленник, стоящий за фишинговой атакой, действовал быстро и разослал фишинговые электронные письма пользователям OpenSea. Приманка была сделана так, чтобы выглядеть почти так же, как исходное сообщение, отправленное платформой OpenSea, за исключением вредоносных ссылок, содержащихся в фишинговых письмах.

Плохая ссылка перенаправляет жертв на специально подделанную фишинговую страницу, которая выглядит почти так же, как страница, используемая OpenSea, но вредоносная страница также предлагает пользователям включить «данные смарт-контракта» и «слепую подпись» — текст, отсутствующий на официальном сайте. Страница OpenSea.

Злоумышленник пришел подготовленным

Злоумышленник, стоящий за фишинговой кампанией, заключил контракт примерно за месяц до атаки. Как только жертвы подписывают вредоносную транзакцию на фишинговой странице, они отправляют запрос atomicMatch_ на контракт злоумышленника. Запрос atomicMatch_ используется OpenSea для авторизации транзакций только в том случае, если все параметры обмена удовлетворены.

По словам группы кибербезопасности Check Point, опубликовавшей сообщение об атаке, злоумышленнику удалось быстро перепродать NFT, украденные в ходе атаки, и заработать на этом около 2 миллионов долларов.

Эта атака показывает только то, что чем больше финансово ориентированных цифровых площадок доступно, тем больше поверхностей и векторов атак будет представлено злоумышленникам. Можно было бы подумать, что любой, кто имеет дело с NFT, будет достаточно технически подкован, чтобы обнаружить плохую ссылку и фишинговое письмо, но, видя, как были украдены NFT на 2 миллиона долларов, это, похоже, не так.

Загрузка...