Кевин Роуз, соучредитель коллекции невзаимозаменяемых токенов (NFT) Moonbirds, стал жертвой фишинговой аферы, в результате которой были украдены его личные NFT на сумму более 1,1 миллиона долларов.
Создатель NFT и соучредитель PROOF поделился этой новостью со своими 1,6 миллионами подписчиков в Твиттере 25 января, попросив их не покупать NFT Squiggles до тех пор, пока его команде не удастся пометить их как украденные.
«Спасибо за все добрые слова поддержки. Будет полный отчет», — поделился он в отдельном твите примерно через два часа.
Понятно, что NFT Роуза были украдены после того, как он утвердил вредоносную подпись, которая передала значительную часть его активов NFT злоумышеннику.
Независимый анализ Arkham показал, что хакер украл как минимум один Autoglyph, минимальная цена которого составляет 345 ETH; 25 художественных блоков, также известных как Chromie Squiggles, на общую сумму не менее 332,5 ETH; и девять предметов OnChainMonkey на сумму не менее 7,2 ETH.
Всего было украдено NFT на сумму не менее 684,7 ETH (1,1 миллиона долларов).
Как взломали Кевина Роуза
Несмотря на то, что было опубликовано несколько независимых сетевых анализов, Арран Шлосберг, вице-президент PROOF — компании, стоящей за Moonbirds, — объяснил своим 9500 подписчикам в Твиттере, что Роуза обокрали «фишинговым способом, путем подписания вредоносной транзакции», которая позволила эксплуататору передать большое количество токенов:
«Это был классический образец социальной инженерии, заставляющий KRO ложно чувствовать себя в безопасности. Технический аспект взлома ограничивался созданием подписей, принятых в контракте с рынком OpenSea», – написал Шлосберг 25 января 2023 г.
Криптовалютный аналитик «foobar» более подробно остановился на «техническом аспекте взлома» в отдельном посте от 25 января, объяснив, что Роуз одобрил контракт с рынком OpenSea для перемещения всех своих NFT.
Он добавил, что Роуз всегда находился на расстоянии «одной вредоносной сигнатуры» от эксплойта:
«Будьте очень осторожны при подписании чего-либо, даже подписи вне сети. У Кевина Роуза только что были слиты NFT на сумму около 2 миллионов долларов из его хранилища из-за подписания одного вредоносного пакета Sea Port, к счастью, пара вещей сдержана, например, панк-зомби (1000 ETH), который нельзя обменять на OpenSea», – написал foobar 25 января 2023 г.
Криптовалютный аналитик сказал, что Роуз вместо этого должен был «поместить» свои активы NFT в отдельный кошелек:
«Перемещение активов из вашего хранилища в отдельный «продающий» кошелек перед листингом на торговых площадках NFT предотвратил бы это».
Другой сетевой аналитик, «0xQuit», сообщил своим 71 400 подписчикам в Твиттере, что вредоносная подпись была активирована контрактом с торговой площадкой Seaport — платформой, на которой работает OpenSea:
«Кевин Роуз только что потерял более 2 миллионов долларов активов, подписав автономную подпись, которая создала листинг для всех его одобренных активов OpenSea за один раз. Хотя Sea Port — мощный инструмент, он также может быть опасным, если вы не знаете, как он работает», – написал 0xQuit 25 января 2023 г.
0xQuit объяснил, что эксплойтер создал фишинговый сайт, который мог просматривать активы NFT, хранящиеся в кошельке Роуз.
Затем злоумышленник установил порядок передачи себе всех активов Роуза, одобренных в OpenSea.
Затем Роуз подтвердил вредоносную транзакцию, отмечает Quit.
Между тем, foobar отметил, что большая часть украденных активов была значительно выше минимальной цены, а это означает, что украденная сумма может достигать 2 миллионов долларов.
0xQuit призвал пользователей OpenSea «убегать» с любого другого веб-сайта, который предлагает пользователям подписать что-то, что выглядит подозрительно.
NFT в движении
Сетевой аналитик ZachXBT поделился картой транзакций со своими 350 300 подписчиками в Твиттере, показав, что эксплуататор отправил активы на FixedFloat — криптовалютную биржу в сети Lightning Network 2-го уровня Биткойн.
Затем он обменял средства на биткойны (BTC) и поместил BTC в миксер биткойнов:
«Три часа назад Кевина обманули, чтобы получить NFT на сумму более 1,4 миллиона долларов. Ранее сегодня тот же мошенник украл 75 ETH у другой жертвы. Сопоставляя это, мы можем увидеть четкую тенденцию отправки украденных средств в FixedFloat и обмена на BTC перед внесением в миксер биткойнов», — написал ZachXBT 25 января 2023 г.
Участник Crypto Twitter Degentraland сказал своим 67 000 подписчиков в Твиттере, что это была «самая печальная вещь», которую они видели в пространстве криптовалюты на сегодняшний день, добавив, что если кто-то и может вернуться после такого разрушительного подвига, так это «он»:
«Самая грустная вещь, которую я когда-либо видел в криптовалюте. Кошелек Кевина Роуза опустошен. Если кто и может оправиться от такого, так это он», – написал Degentraland 25 января 2023 г.
Между тем, основатель Bankless Райан Шон Адамс был в ярости от того, с какой легкостью удалось обмануть Роуза. В твите от 25 января Адамс призвал фронтенд-инженеров взяться за ум и улучшить взаимодействие с пользователем (UX), чтобы предотвратить подобные мошенничества.