نزدیک به 2 میلیون دلار ETH از کاربران OpenSea در آخرین "حمله فیشینگ" به سرقت رفت

بزرگترین بازار NFT جهان OpenSea مورد سوء استفاده قرار گرفت که ده ها NFT را مفقود کرد.

این خبر پس از یک سری توییت توسط برخی از کاربران آسیب‌دیده منتشر شد که ادعا می‌کردند برخی از NFT‌های آن‌ها پس از کلیک بر روی پیوند انتقال قرارداد هوشمند گم شده‌اند.

"ما به طور فعال در حال بررسی شایعات مربوط به سوء استفاده مرتبط با قراردادهای هوشمند OpenSea هستیم. به نظر می رسد این یک حمله فیشینگ باشد که خارج از وب سایت OpenSea منشا گرفته است. روی پیوندهای خارج از http://opensea.io کلیک نکنید. دریای آزاد اندکی پس از گزارش ها توییت کرد.

مدیر عامل OpenSea، دوین فینزر، شکایات را تأیید کرد و اظهار داشت که تا کنون 32 کاربر یک بار مخرب از یک مهاجم را امضا کرده اند و حساب های خود را در معرض سوء استفاده قرار داده اند. فینزر، که اظهار داشت این اکسپلویت یک حمله فیشینگ است که به هیچ وجه به وب‌سایت OpenSea مرتبط نیست، گزارش‌هایی مبنی بر ارزش NFT‌های دزدیده شده 200 میلیون دلار را رد کرد.

مهاجم ۱.۷ میلیون دلار ETH از فروش برخی از NFT های سرقت شده در کیف پول خود دارد. او نوشت.

روز شنبه، OpenSea از کاربران خواسته بود که به عنوان بخشی از ارتقای برنامه ریزی شده قرارداد هوشمند فعلی خود به یک قرارداد هوشمند جدید، شروع به مهاجرت لیست های خود کنند. فهرست‌هایی که خارج از مهلت مقرر قرار می‌گیرند منقضی می‌شوند و از کاربران می‌خواهند NFT‌های خود را از نو فهرست کنند.

کارشناسان بر این باورند که مهاجم قصد داشت از این قاب پنجره برای اجرای سوء استفاده استفاده کند، زیرا کاربران هنگام تلاش برای شکست دادن ضرب الاجل ها به امنیت توجه کمی دارند.

طبق گفته توسعه دهندگان در Isotile، به نظر می رسد که مهاجم 28 روز زودتر این سوء استفاده را برنامه ریزی کرده است و پیش بینی می کند که تا آنجا که ممکن است امضا کند.

"او شروع به ارسال ایمیل با وب سایت های فیشینگ می کند." ایزوتیله توییت کرد. "آنها به شما می گویند که برای ورود به قرارداد هوشمند جدید Opensea پیامی امضا کنید، در عوض شما در حال امضای فروش خصوصی (0 eth) از NFT های خود به هکر هستید."

پس از جمع آوری امضاهای کافی در زمان مهاجرت، مهاجم "عملکرد قرارداد هوشمند را برای سرقت NFTها قبل از انقضای فهرست آنها اجرا می کند." او توانست این کار را انجام دهد زیرا امضای قربانیان خود را در سرور خود ذخیره کرده بود.

فعالیت کاربر OpenSea تا حد زیادی بدون سانسور است که کنترل فعالیت های خود را برای شرکت سخت تر می کند. تا زمان نگارش، تنها اقدام برای جلوگیری از ضررهای بیشتر این بود که کاربران هوشیار بمانند و از امضا کردن یا کلیک کردن روی هر پیوندی خارج از آنچه OpenSea به عنوان "یک کلیک تفاوت ایجاد می کند" خودداری کنند.

• Coinsmart. بهترین صرافی بیت کوین و کریپتو اروپا.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی رایگان.
• CryptoHawk. رادار آلت کوین امتحان رایگان.
• منبع: https://zycrypto.com/nearly-2-million-in-eth-stolen-from-opensea-users-in-latest-phishing-attack/