Ο Kevin Rose, ο συνιδρυτής της συλλογής nonfungible token (NFT) Moonbirds, έπεσε θύμα απάτης phishing που οδήγησε σε κλοπή των προσωπικών του NFT αξίας άνω των 1,1 εκατομμυρίων δολαρίων.
Ο δημιουργός του NFT και συνιδρυτής του PROOF μοιράστηκε τα νέα με τους 1,6 εκατομμύρια οπαδούς του στο Twitter στις 25 Ιανουαρίου, ζητώντας τους να αποφύγουν την αγορά οποιωνδήποτε Squiggles NFT μέχρι να καταφέρουν να τα επισημάνουν ως κλεμμένα.
Μόλις με χάκαραν, μείνετε συντονισμένοι για λεπτομέρειες – αποφύγετε να αγοράσετε κανένα squiggle μέχρι να τους επισημάνουμε (μόλις έχασα 25) + μερικά άλλα NFT (ένα αυτόγλυφο) …
— KΞVIN R◎SE (,) (@kevinrose) 25 Ιανουαρίου 2023
«Σας ευχαριστώ για όλα τα καλά, υποστηρικτικά λόγια. Έρχεται πλήρης ενημέρωση», στη συνέχεια κοινόχρηστο σε ένα ξεχωριστό tweet περίπου δύο ώρες αργότερα.
Είναι κατανοητό ότι τα NFT του Rose αποστραγγίστηκαν μετά την υπογραφή μιας κακόβουλης υπογραφής που μετέφερε σημαντικό μέρος των περιουσιακών του στοιχείων NFT στον εκμεταλλευτή.
GM – τι μέρα!
Σήμερα υπέστη phish. Αύριο θα καλύψουμε όλες τις λεπτομέρειες ζωντανά, ως προειδοποιητική ουρά, στους χώρους του twitter. Δείτε πώς έπεσε, τεχνικά: https://t.co/DgBKF8qVBK— KΞVIN R◎SE (,) (@kevinrose) 25 Ιανουαρίου 2023
Ένας ανεξάρτητος ανάλυση από το Arkham διαπίστωσε ότι ο εκμεταλλευτής εξήγαγε τουλάχιστον ένα Autoglyph (345 ETH), 25 Art Blocks — επίσης γνωστά ως Chromie Squiggle — (332,5 ETH) και εννέα αντικείμενα OnChainMonkey (7,2 ETH).
Συνολικά, εξήχθη τουλάχιστον 684,7 ETH (1,1 εκατομμύρια δολάρια).
Πώς έγινε αντικείμενο εκμετάλλευσης του Κέβιν Ρόουζ
Ενώ έχουν κοινοποιηθεί πολλές ανεξάρτητες αναλύσεις στην αλυσίδα, ο Αντιπρόεδρος της PROOF – της εταιρείας πίσω από το Moonbirds – ο Arran Schlosberg εξήγησε στους 9.500 οπαδούς του στο Twitter ότι ο Rose «δέχθηκε php για να υπογράψει μια κακόβουλη υπογραφή» που επέτρεψε εκμεταλλευτής για να μεταφέρει σε μεγάλο αριθμό διακριτικών:
1/ Αυτό ήταν ένα κλασικό κομμάτι κοινωνικής μηχανικής, που ξεγελούσε τον KRO σε μια ψευδή αίσθηση ασφάλειας. Η τεχνική πτυχή της εισβολής περιοριζόταν στη δημιουργία υπογραφών που ήταν αποδεκτές από τη σύμβαση αγοράς της OpenSea.
— Arran (@divergencearran) 25 Ιανουαρίου 2023
Ο αναλυτής κρυπτογράφησης “foobar” ανέπτυξε περαιτέρω την “τεχνική πτυχή του hack” σε μια ξεχωριστή ανάρτηση στις 25 Ιανουαρίου, εξηγώντας ότι ο Rose ενέκρινε ένα συμβόλαιο στην αγορά OpenSea για τη μετακίνηση όλων των NFT του κάθε φορά που ο Rose υπέγραφε συναλλαγές.
Πρόσθεσε ότι η Rose βρισκόταν πάντα «μια κακόβουλη υπογραφή» μακριά από μια εκμετάλλευση:
να είστε εξαιρετικά προσεκτικοί όταν υπογράφετε οτιδήποτε, ακόμη και υπογραφές εκτός αλυσίδας. Ο kevin Rose είχε μόλις αποστραγγίσει NFT αξίας ~ 2 εκατομμυρίων δολαρίων από το θησαυροφυλάκιό του από την υπογραφή ενός κακόβουλου πακέτου θαλάσσιου λιμανιού. ευτυχώς μερικά πράγματα συγκρατήθηκαν, όπως το πανκ ζόμπι (1000 ETH) που δεν μπορεί να ανταλλάσσεται στο λειτουργικό σύστημα pic.twitter.com/GXHR3NQHLf
— foobar (@0xfoobar) 25 Ιανουαρίου 2023
Ο αναλυτής κρυπτονομισμάτων είπε ότι ο Ρόουζ θα έπρεπε αντ ‘αυτού να είχε “σιλοάρει” τα περιουσιακά του στοιχεία NFT σε ένα ξεχωριστό πορτοφόλι:
“Η μεταφορά περιουσιακών στοιχείων από το θησαυροφυλάκιό σας σε ένα ξεχωριστό πορτοφόλι “πώλησης” πριν από την εισαγωγή σε αγορές NFT θα αποτρέψει αυτό.”
Ένας άλλος αναλυτής on-chain, ο «Quit» είπε στους 71.400 οπαδούς του στο Twitter ότι εξήγησε περαιτέρω ότι η κακόβουλη υπογραφή ενεργοποιήθηκε από το συμβόλαιο της αγοράς Seaport – την πλατφόρμα που εξουσιοδοτεί το OpenSea:
Ο Κέβιν Ρόουζ μόλις έχασε 2 εκατομμύρια $+ σε περιουσιακά στοιχεία υπογράφοντας μια υπογραφή εκτός αλυσίδας που δημιούργησε μια λίστα για όλα τα εγκεκριμένα από το OpenSea περιουσιακά του στοιχεία με μια κίνηση.
Ενώ το λιμάνι είναι ένα ισχυρό εργαλείο, μπορεί επίσης να είναι επικίνδυνο εάν δεν γνωρίζετε πώς λειτουργεί.
Λίγο πλαίσιο 1/
— παραίτηση (@0xQuit) 25 Ιανουαρίου 2023
Ο Quit εξήγησε ότι οι εκμεταλλευτές μπόρεσαν να δημιουργήσουν ένα ιστότοπος phishing που μπορούσε να δει τα στοιχεία NFT κρατιέται στο πορτοφόλι της Ρόουζ.
Στη συνέχεια, ο εκμεταλλευτής δημιούργησε μια παραγγελία για όλα τα περιουσιακά στοιχεία της Rose που έχουν εγκριθεί OpenSea για να μεταφερθεί στη συνέχεια στον εκμεταλλευτή.
Στη συνέχεια, η Rose επικύρωσε την κακόβουλη συναλλαγή, σημείωσε το Quit.
Σχετίζεται με: Το έργο Bluechip NFT Moonbirds υπογράφει με τους πράκτορες ταλέντων του Χόλιγουντ UTA
Εν τω μεταξύ, το foobar σημείωσε ότι τα περισσότερα από τα κλεμμένα περιουσιακά στοιχεία ήταν πολύ πάνω από την κατώτατη τιμή, πράγμα που σημαίνει ότι το ποσό που κλάπηκε μπορεί να φτάσει τα 2 εκατομμύρια δολάρια.
Ο Quit προέτρεψε ότι οι χρήστες του OpenSea «πρέπει να τρέξουν μακριά» από οποιονδήποτε άλλο ιστότοπο που προτρέπει τους χρήστες να υπογράψουν κάτι που φαίνεται ύποπτο.
NFT εν κινήσει
Ο on-chain αναλυτής «ZachXBT» μοιράστηκε έναν χάρτη συναλλαγών στους 350.300 οπαδούς του στο Twitter, ο οποίος δείχνει ότι ο εκμεταλλευτής έστειλε τα περιουσιακά στοιχεία στο FixedFloat — ένα ανταλλακτήριο κρυπτονομισμάτων στο επίπεδο 2 Bitcoin «Lightning Network».
Στη συνέχεια, ο εκμεταλλευτής μετέφερε τα κεφάλαια σε Bitcoin (BTC) και πριν καταθέσετε το BTC σε έναν αναμικτήρα Bitcoin:
Πριν από τρεις ώρες ο Kevin δέχθηκε phish για NFT αξίας 1,4 εκατομμυρίων $+. Νωρίτερα σήμερα ο ίδιος απατεώνας έκλεψε 75 ETH από άλλο θύμα.
Χαρτογραφώντας αυτό, μπορούμε να δούμε μια σαφή τάση αποστολής των κλεμμένων κεφαλαίων στο FixedFloat και ανταλλαγής για BTC πριν από την κατάθεση σε ένα μίκτη bitcoin. https://t.co/2yrFpfYttT pic.twitter.com/ZlywPYydwx
— ZachXBT (@zachxbt) 25 Ιανουαρίου 2023
Το μέλος του Crypto Twitter “Degentraland” είπε στους 67.000 οπαδούς τους στο Twitter ότι ήταν το “πιο θλιβερό πράγμα” που έχουν δει στον χώρο των κρυπτονομισμάτων μέχρι σήμερα, προσθέτοντας ότι αν κάποιος μπορεί να επιστρέψει από μια τόσο καταστροφική εκμετάλλευση, “είναι αυτός”:
Το πιο λυπηρό πράγμα που έχω δει στο crypto μέχρι σήμερα.@kevinrose πορτοφόλι στραγγισμένο.
Αν κάποιος μπορεί να επιστρέψει από αυτό, είναι αυτός. pic.twitter.com/HZysg34qji
— Degentraland (@Degentraland) 25 Ιανουαρίου 2023
Εν τω μεταξύ, ο ιδρυτής της Bankless Ράιαν Σον Άνταμς ήταν έξαλλος με την ευκολία με την οποία η Rose μπορούσε να γίνει αντικείμενο εκμετάλλευσης. Στις 25 Ιανουαρίου τιτίβισμα, Ο Adams προέτρεψε τους μηχανικούς front-end να συνεχίσουν το παιχνίδι τους και να βελτιώσουν την εμπειρία χρήστη (UX) για να αποτρέψουν τέτοιες απάτες.