Moonbirds NFT 系列的創建者Kevin Rose 在成為錢包漏洞利用的受害者後損失了大約100 萬美元的NFT。
Rose 丟失了許多NFT,包括25 個Chronie Squiggles 和一個Autoglyph NFT。羅斯本人在他的推特賬戶上證實了黑客攻擊。
百萬美元的損失
Moonbirds NFT 系列的聯合創始人凱文·羅斯(Kevin Rose) 成為網絡釣魚詐騙的受害者,從他的個人收藏中損失了價值超過110 萬美元的NFT。 Rose 在他的Twitter 用戶名上確認了黑客攻擊,並且瀏覽一下Rose 錢包在OpenSea 上的交易歷史可以揭示黑客攻擊的程度。羅斯丟失了幾個NFT,例如OnChainMonkeys、Squiggles 和Cool Cats。羅斯在推特上表示,
“我剛剛被黑了; 請繼續關注詳細信息——請避免購買任何花體字,直到我們標記它們(剛剛丟失25 個)+ 其他一些NFT(一個自動字形)。”
然而,羅斯能夠通過將它們保存在一個單獨的金庫中來保存他最有價值的NFT。這些NFT 包括Zombie CryptoPunk(CryptoPunk #5066),其中只有87 個其他NFT。用戶推測有問題的錢包被盜是因為Rose 簽署了一個惡意的seaport 捆綁包。海港捆綁包允許用戶用多種資產換取其他具有相同價值的物品。就Rose 而言,他敦促用戶避免購買Squiggle NFT,而他的團隊正在努力將它們標記為被盜。
黑客的細節
有關黑客攻擊如何發生的細節很快就浮出水面。據透露,黑客攻擊很可能發生在他批准了一個惡意簽名之後,使攻擊者能夠從錢包中轉移出大量Rose 的NFT。對黑客的分析表明,攻擊者設法竊取了至少一個Autoglyph,底價為345 ETH,Chromie Squiggles,價值約332.5 ETH,以及九個OnChainMonkey項目,價值約7.2 ETH。
PROOF 的副總裁,Moonbirds 系列背後的實體Arran Schlosberg,在Twitter 上詳細闡述了黑客攻擊,揭示Rose 是網絡釣魚漏洞的受害者,該漏洞誘使他簽署惡意簽名並允許攻擊者竊取NFT問題。
“今晚早些時候,@kevinrose 被誘騙簽署了一個惡意簽名,允許黑客轉移大量高價值代幣。 以下是所發生事件的細目分類、我們的即時反應以及我們正在進行的努力。 這是一項經典的社會工程學,讓KRO 產生一種虛假的安全感。 黑客的技術方面僅限於製作OpenSea 市場合約接受的簽名。”
加密貨幣分析師foobar 解釋說,Rose 已經批准了一份OpenSea 市場合約,以便在他簽署交易時轉移他所有的NFT,並表示Rose 總是一個遠離災難的惡意簽名。這位分析師補充說,羅斯應該將他的資產存放在一個單獨的錢包中。
“在NFT 市場上市之前,將資產從你的金庫轉移到一個單獨的’出售’錢包將防止這種情況發生。”
惡意簽名是由海港市場合約啟用的,雖然它是一個強大的工具,但如果用戶不知道它是如何工作的,它也會很危險。
移動中的被盜資產
Foobar 還透露,被盜資產的價值遠高於其底價,這意味著損失可能要大得多。鏈上加密貨幣分析師ZachXBT 追踪了被盜資產,發現攻擊者將資產發送到比特幣閃電網絡上的交易所FixedFloat。然後將資金換成BTC 並存入比特幣混合器。
“三個小時前,Kevin 被網絡釣魚了價值超過140 萬美元的NFT。 今天早些時候,同一名騙子從另一名受害者那裡偷走了75 ETH。 對此進行映射,我們可以看到一個明顯的趨勢,即在存入比特幣混合器之前,將被盜資金發送到FixedFloat 並換成BTC。”
Bankless 創始人Ryan Sean Adams 指出了Rose 被利用的難易程度,並敦促前端工程師改善用戶體驗。
免責聲明:本文僅供參考。它不提供或旨在用作法律、稅務、投資、財務或其他建議。
資訊來源:由0x資訊編譯自CRYPTODAILY。版權歸作者所有,未經許可,不得轉載
