Moonbirds Creator Wallet Exploit-тен кейін NFT-тен 1 миллион доллар жоғалтты

Moonbirds NFT топтамасын жасаушы Кевин Роуз әмиянды пайдаланудың құрбаны болғаннан кейін NFT-те шамамен 1 миллион доллар жоғалтты. 

Роуз бірқатар NFT-терді, соның ішінде 25 Chronie Squiggles және Autoglyph NFT-ті жоғалтты. Бұзылғанын Роуздың өзі Twitter-дегі парақшасында растады. 

Миллион доллар шығын 

Moonbirds NFT топтамасының негізін қалаушы Кевин Роуз фишингтің құрбаны болып, жеке коллекциясынан 1.1 миллион доллардан астам сомаға NFT жоғалтты. Роуз өзінің Twitter-де бұзғанын растады және OpenSea-дағы Rose әмиянына жасалған транзакциялар тарихына шолу бұзудың ауқымын көрсетеді. Rose OnChainMonkeys, Squiggles және Cool Cats сияқты бірнеше NFT жоғалтты. Роуз Twitter-де мәлімдеді. 

«Мен жай ғана бұзылдым; Толық ақпарат алу үшін хабардар болыңыз – біз оларды жалаушаға алғанша (жаңа ғана жоғалған 25) және бірнеше басқа NFT (автоглиф) алғанша кез келген қиғаш сызықтарды сатып алмаңыз.

Дегенмен, Роуз өзінің ең құнды NFT-терін бөлек қоймада сақтау арқылы сақтай алды. Бұл NFT-терге Zombie CryptoPunk (CryptoPunk №5066) кіреді, оның ішінде тек 87 басқа NFT бар. Пайдаланушылар Роуз зиянды теңіз порты пакетіне қол қойғандықтан, бұл әмиян бұзылған деп болжады. Теңіз порты жинағы пайдаланушыларға бірдей құнды басқа элементтер үшін бірнеше активтерді сатуға мүмкіндік береді. Роуз өз тарапынан пайдаланушыларды Squiggle NFT сатып алудан аулақ болуға шақырды, ал оның командасы оларды ұрланған деп белгілеумен жұмыс істеді. 

Хактың мәліметтері 

Көп ұзамай бұзудың қалай болғаны туралы мәліметтер пайда болды. Бұзушылық, ең алдымен, ол зиянды қолтаңбаны бекіткеннен кейін орын алғаны анықталды, бұл шабуылдаушыға әмияннан Роуздың NFT-терінің айтарлықтай санын тасымалдауға мүмкіндік берді. Бұзушылықты талдау шабуылдаушының ең төменгі бағасы 345 ETH болатын кем дегенде бір Autoglyph, шамамен 332.5 ETH тұратын Chromie Squiggles және шамамен 7.2 ETH тұратын OnChainMonkey тоғыз элементін өшіре алғанын анықтады. 

вице-президенті PROOF, Moonbirds топтамасының артында тұрған ұйым Арран Шлосберг Twitter-дегі бұзу туралы егжей-тегжейлі айтып, Роуздың оны зиянды қолтаңбаға қол қоюға алдап, шабуылдаушыға қаралған NFT-терді ұрлауға мүмкіндік берген фишингтік эксплуаттың құрбаны болғанын ашты. 

«Бүгін кештің басында @kevinrose зиянды қолтаңбаға қол қою үшін фишингке ұшырады, бұл хакерге көптеген құнды белгілерді тасымалдауға мүмкіндік берді. Міне, не болғаны, біздің жедел әрекетіміз және атқарылып жатқан әрекеттеріміз. Бұл KRO-ны жалған қауіпсіздік сезіміне итермелейтін әлеуметтік инженерияның классикалық бөлігі болды. Бұзушылықтың техникалық аспектісі OpenSea компаниясының нарықтық келісім-шартында қабылданған қолтаңбаларды жасаумен шектелді.

Криптографиялық талдаушы Фубар Роуз транзакцияларға қол қойған сайын өзінің барлық NFT-терін жылжыту үшін OpenSea нарығындағы келісім-шартты бекіткенін түсіндірді, бұл Роуз әрқашан апаттан бір зиянды қолтаңба екенін айтты. Сарапшы Роуз өзінің активтерін бөлек әмиянға салуы керек деп қосты. 

«NFT нарықтарында листингтен бұрын активтерді қоймаңыздан бөлек «сататын» әмиянға жылжыту бұған жол бермейді».

Зиянды қолтаңба теңіз порты нарығындағы келісімшарт арқылы іске қосылды, ол қуатты құрал болғанымен, пайдаланушылар оның қалай жұмыс істейтінін білмесе де қауіпті. 

Қозғалыстағы ұрланған активтер

Foobar сонымен қатар ұрланған активтер ең төменгі бағадан әлдеқайда жоғары бағаланғанын анықтады, бұл шығын әлдеқайда көп болуы мүмкін дегенді білдіреді. Тізбектегі крипто талдаушысы ZachXBT ұрланған активтерді қадағалап, эксплуататор активтерді Bitcoin Lightning желісіндегі биржа FixedFloat-қа жібергенін анықтады. Содан кейін қаражат BTC-ге ауыстырылды және биткоин араластырғышына салынды. 

«Үш сағат бұрын Кевин 1.4 миллион доллардан астам NFT үшін фишингке ұшырады. Бүгін ерте сол алаяқ басқа жәбірленушіден 75 ETH ұрлап кеткен. Мұны салыстыра отырып, біз ұрланған қаражатты FixedFloat-қа жіберудің және биткоин араластырғышына депозитке салмас бұрын BTC-ге айырбастаудың айқын үрдісін көре аламыз.

Банксіз негізін қалаушы Райан Шон Адамс Роузды пайдаланудың қарапайымдылығын атап өтті және алдыңғы қатарлы инженерлерді пайдаланушы тәжірибесін жақсартуға шақырды.

Жауапкершіліктен бас тарту: Бұл мақала тек ақпараттық мақсатта ұсынылған. Ол заңдық, салықтық, инвестициялық, қаржылық немесе басқа кеңестер ретінде ұсынылмайды немесе пайдалануға арналмаған.