" Фишинговые сайты делают функцию частного аукциона похожей на способ входа в систему, заманивая жертв неосознанно отказываться от своих NFT.
По мере того, как невзаимозаменяемые токены (NFT) становились все более популярными, активизировались злоумышленники, которые постоянно пытаются обмануть пользователей в этом секторе. Теперь новый взлом с использованием функций торговой площадки NFT OpenSea угрожает держателям NFT через фишинговые сайты.
В своем объявлении проект по борьбе с кражами Harpie предупредил пользователей NFT о новом взломе, связанном с безгазовыми продажами на платформе OpenSea. По словам Harpie, хакеры смогли украсть миллионы в цифровых активах, воспользовавшись этой функцией.
«Хакеры смогли украсть NFT как по волшебству с помощью малоизвестной функции OpenSea. Это новейший взлом, и из-за него уже было потеряно несколько миллионов», – говорится в сообщении Harpie.
Когда пользователи хотят проводить безгазовые продажи на платформе OpenSea, они должны одобрить запрос подписи с нечитаемым сообщением. С помощью этой функции пользователи также могут создавать частные аукционы с нечитаемыми подписями.
По словам Harpie, подписи часто представляют собой шаг, необходимый для входа в систему и доступа к веб-сайту. Однако сообщения для входа в систему на самом деле являются запросами подписи на частную продажу NFT жертвы мошеннику за 0 эфиров (ETH). Если такая транзакция будет подписана, то NFT отправятся на адрес кошелька хакера.
«Контракт OpenSea допускает «продажи без газа», когда пользователи могут продавать NFT, подписывая нечитаемое сообщение, подобное приведенному выше. Загвоздка в том, что вы также можете настроить частные аукционы с пользовательскими ценами с этими нечитаемыми подписями. Фишинговые веб-сайты будут просить жертв подписать безобидную «подпись для входа» для доступа к их сайту. Но эта подпись входа на самом деле является запросом на частную продажу вашего NFT за 0 ETH на адрес хакера», – пишет Harpie.
Помимо этой аферы, компания CertiK, занимающаяся безопасностью блокчейнов, также недавно выпустила предупреждение криптосообществу в отношении того, что они называют «ледяным фишингом». С помощью этого эксплойта мошенники обманом заставляют пользователей Web3 подписывать разрешения, которые позволяют злоумышленникам тратить их токены. CertiK отметила, что мошенничество представляет собой серьезную угрозу и уникально для мира Web3.
Аналитик также упомянул, как мошенник использовал функцию подписи Seaport без газа, чтобы якобы украсть 14 NFT Bored Ape. После проведения тщательной социальной инженерии хакер направил жертву на поддельную платформу NFT, прежде чем попросить владельца подписать контракт. За этим последовало опустошение кошелька жертвы.
