" За последнюю неделю несколько проверенных учетных записей Twitter были взломаны с целью публикации ссылок на фишинговый сайт. Согласно данным аналитической компании Elliptic, атака привела к краже 35 NFT на сумму более 900 000 долларов.
По данным Elliptic, за последнюю неделю мошенники украли не менее 900 000 долларов в NFT. Пять из украденных предметов были NFT топовых серий Bored Ape Yaht Club (BAYC), Mutant Ape или Bored Ape Kennel Club, и девять высокопоставленных лиц сообщили о том, что стали жертвами нападения.
Ранее в этом месяце BAYC запустила раздачу токенов ApeCoin (APE) для держателей Bored и Mutant Ape NFT. Для этой атаки мошенники взломали несколько проверенных учетных записей Twitter, чтобы продвигать ссылки на URL-адрес, выдающий себя за сайт раздачи токенов ApeCoin. У некоторых учетных записей Twitter было более 50 000 подписчиков.
Среди ничего не подозревающих жертв, перешедших по фишинговым ссылкам, были как владельцы BAYC NFT, так и невладельцы, готовые выложить 0,33 ETH (1130 долларов США) за участие. Однако вместо того, чтобы зарегистрироваться и получить токены ApeCoin в новом аирдропе, они столкнулись с вредоносным кодом, который дал мошенникам доступ к их кошельку.
«Твит выглядел странно, но это был тот, за кем я действительно следил [ранее], поэтому я не стал слишком задумываться… Я щелкнул ссылку в твите, и мне сразу же было предложено подключить свой кошелек, чего я не сделал, - объяснил Аарон Кадена, соучредитель вейпинговой компании Gutter Bars, посвященной NFT, в твиттере с подробным описанием того, как были взяты его Gutter Cats # 2017 и # 2904. После нажатия кнопки «Отмена» приглашение продолжало появляться снова и снова. Я нажал кнопку «Отмена» еще несколько раз, затем понял, что происходит, и попытался покинуть сайт, но мой экран был заблокирован».
Кадена описывает, как, несмотря на принудительный выход из браузера, он получил уведомление о том, что два актива были переведены из его кошелька.
«Это было похоже на удар под дых. Я не знаю, как это было сделано, поскольку я никогда не подключал свой кошелек, — сказал он, добавив, что третьи лица позже согласились продать ему NFT обратно по себестоимости. После всего этого испытания я потеряю 20 ETH, что отстой, но могло быть намного хуже».
AnChain.ai, опубликовавший отдельный отчет о мошенничестве, назвал ситуацию «абсурдной» из-за того, что активность взломанных учетных записей не вызвала никаких подозрений у системы безопасности твиттера.
«Тот факт, что взломанные проверенные учетные записи не вызывают обнаружение спама в Twitter при использовании сценария для отправки нескольких твитов в секунду, является абсурдным», - заключила команда AnChain.
