Bitcoin(BTC)$96,489.000.03%
Ethereum(ETH)$2,618.83-2.27%
Tether(USDT)$1.000.00%
XRP(XRP)$2.393.29%
Solana(SOL)$192.151.76%
BNB(BNB)$578.251.03%
USDC(USDC)$1.000.00%
Dogecoin(DOGE)$0.246324-0.25%
Cardano(ADA)$0.710.55%
Lido Staked Ether(STETH)$2,613.75-2.44%
Творець Moonbirds Кевін Роуз втрачає понад 1,1 мільйона доларів у NFT після 1 неправильного кроку
Кевін Роуз, співзасновник колекції незамінних токенів (NFT) Moonbirds, став жертвою фішингової афери, яка призвела до викрадення його особистих NFT на суму понад 1,1 мільйона доларів.
Творець NFT і співзасновник PROOF поділився новиною зі своїми 1,6 мільйонами підписників у Twitter 25 січня, попросивши їх уникати покупки будь-яких NFT Squiggles, доки їм не вдасться позначити їх як вкрадені.
Мене щойно зламали, слідкуйте за подробицями — будь ласка, не купуйте будь-які завивки, доки ми не позначимо їх (щойно втратив 25) + кілька інших NFT (автогліф)…
— KΞVIN R◎SE (,) (@kevinrose) 25 січня 2023 р
«Дякую за всі добрі слова підтримки. Наближається повний звіт”, – сказав він спільний доступ в окремому твіті приблизно через дві години.
Зрозуміло, що NFT Роуза були вичерпані після підписання шкідливого підпису, який передав значну частину його активів NFT експлуататору.
GM – який день!
Сьогодні мене фішингували. Завтра ми розповімо про всі подробиці в прямому ефірі, як хвіст застереження, у Twitter. Ось як це було технічно: https://t.co/DgBKF8qVBK— KΞVIN R◎SE (,) (@kevinrose) 25 січня 2023 р
Незалежний аналіз з Arkham виявив, що експлуататор видобув принаймні один автогліф (345 ETH), 25 художніх блоків — також відомих як Chromie Squiggle — (332,5 ETH) і дев’ять елементів OnChainMonkey (7,2 ETH).
Загалом було видобуто щонайменше 684,7 ETH ($1,1 млн).
Як Кевіна Роуза експлуатували
Хоча було надано кілька незалежних аналізів у ланцюжку, віце-президент PROOF — компанії, що стоїть за Moonbirds — Арран Шлосберг пояснив своїм 9500 підписникам у Twitter, що Роуз «підштовхнули до підписання зловмисного підпису», що дозволило експлуататор для передачі великої кількості токенів:
1/ Це була класична соціальна інженерія, яка викликала у KRO помилкове відчуття безпеки. Технічний аспект злому обмежувався створенням підписів, прийнятих контрактом OpenSea на ринку.
— Арран (@divergencearran) 25 січня 2023 р
Криптоаналітик «foobar» детальніше розповів про «технічний аспект злому» в окремій публікації 25 січня, пояснивши, що Роуз схвалив контракт на ринок OpenSea для переміщення всіх своїх NFT щоразу, коли Роуз підписує транзакції.
Він додав, що Роуз завжди був «на один зловмисний підпис» від експлойту:
будьте дуже обережні, підписуючи будь-що, навіть підписи поза мережею. Кевіна Роуза щойно було витягнуто з його сховища NFT на суму ~2 мільйони доларів після підписання одного зловмисного портового пакету. на щастя, кілька речей стримано, як-от панк-зомбі (1000 ETH), яким не можна торгувати в ОС pic.twitter.com/GXHR3NQHLf
— foobar (@0xfoobar) 25 січня 2023 р
Криптоаналітик сказав, що Роуз мав натомість «розмістити» свої NFT-активи в окремому гаманці:
«Переміщення активів із вашого сховища в окремий «продажний» гаманець перед розміщенням на торгових площадках NFT запобіжить цьому».
Інший мережевий аналітик «Quit» розповів своїм 71 400 підписникам у Twitter, що далі пояснив, що зловмисний підпис був увімкнений контрактом Seaport Marketplace — платформою, яка підтримує OpenSea:
Кевін Роуз щойно втратив понад 2 мільйони доларів США в активах, підписавши оф-чейн підпис, який одночасно створив список для всіх його схвалених OpenSea активів.
Хоча морський порт є потужним інструментом, він також може бути небезпечним, якщо ви не знаєте, як він працює.
Трохи контексту 1/
— вийти (@0xQuit) 25 січня 2023 р
Квіт пояснив, що експлуататори змогли створити a фішинговий сайт, який зміг переглянути активи NFT зберігався в гаманці Роуз.
Потім експлуататор встановлює порядок для всіх активів Rose, які схвалені OpenSea потім буде передано експлуататору.
Потім Роуз перевірив зловмисну транзакцію, зазначив Quit.
пов’язані: Проект Bluechip NFT Moonbirds підписав контракт із голлівудськими агентами талантів UTA
Водночас foobar зазначив, що більшість викрадених активів були значно вищими за мінімальну ціну, що означає, що сума вкраденого може досягати 2 мільйонів доларів.
Quit закликав користувачів OpenSea «втекти» від будь-якого іншого веб-сайту, який спонукає користувачів підписати те, що виглядає підозріло.
NFT в русі
Мережевий аналітик «ZachXBT» поділився картою транзакцій зі своїми 350 300 фоловерів у Twitter, яка показує, що експлуататор відправив активи на FixedFloat — криптовалютну біржу на рівні 2 Bitcoin «Lightning Network».
Потім експлуататор перевів кошти в біткоіни (BTC) і перед тим, як внести BTC в біткойн-мікшер:
Три години тому Кевін отримав фішинг на NFT на суму понад 1,4 мільйона доларів. Раніше сьогодні той самий шахрай викрав 75 ETH в іншої жертви.
Розглянувши це, ми можемо побачити чітку тенденцію надсилання вкрадених коштів у FixedFloat і обміну на BTC перед депозитом у змішувач біткойнів. https://t.co/2yrFpfYttT pic.twitter.com/ZlywPYydwx
— ZachXBT (@zachxbt) 25 січня 2023 р
Учасник Crypto Twitter «Degentraland» сказав своїм 67 000 підписників у Twitter, що це була «найсумніша річ», яку вони бачили на сьогоднішній день у сфері криптовалют, додавши, що якщо хтось і може повернутися після такого руйнівного подвигу, то «це він»:
Найсумніше, що я бачив у криптовалюті на сьогоднішній день.@kevinrose гаманець спустошений.
Якщо хтось і може повернутися з цього місця, то це він. pic.twitter.com/HZysg34qji
— Деджентраленд (@Degentraland) 25 січня 2023 р
Тим часом засновник Bankless Райан Шон Адамс був розлючений легкістю, з якою Роуз вдалося використати. У 25 січ твіт, Адамс закликав інженерів переднього плану підібрати свою гру та покращити взаємодію з користувачем (UX), щоб запобігти подібним шахрайствам.
