Moonbirds Creator taper 1 million dollar i NFT-er etter lommebokutnyttelse

Skaperen av Moonbirds NFT-samlingen, Kevin Rose, har tapt rundt 1 million dollar i NFT-er etter å ha blitt offer for en lommebokutnyttelse. 

Rose mistet en rekke NFT-er, inkludert 25 Chronie Squiggles og en Autoglyph NFT. Hacket ble bekreftet av Rose selv på sin Twitter-konto. 

Et milliontap 

Kevin Rose, medgründeren av Moonbirds NFT-samlingen, har blitt offer for en phishing-svindel, og tapte NFT-er verdt 1.1 millioner dollar fra sin personlige samling. Rose bekreftet hacket på Twitter-håndtaket, og et blikk på transaksjonshistorikken for Roses lommebok på OpenSea avslører omfanget av hacket. Rose mistet flere NFT-er, som OnChainMonkeys, Squiggles og Cool Cats. Rose uttalte på Twitter, 

«Jeg ble akkurat hacket; følg med for detaljer – vennligst unngå å kjøpe kruseduller før vi får dem flagget (har nettopp mistet 25) + noen få andre NFT-er (en autoglyph).»

Rose klarte imidlertid å redde sine mest verdifulle NFT-er ved å holde dem i et eget hvelv. Disse NFT-ene inkluderer en Zombie CryptoPunk (CryptoPunk #5066), hvorav det bare er 87 andre NFT-er. Brukere spekulerte i at den aktuelle lommeboken ble kompromittert fordi Rose signerte en ondsinnet havnepakke. En havnebunt lar brukere bytte flere eiendeler for andre gjenstander med samme verdi. Rose, på sin side, oppfordret brukere til å unngå å kjøpe Squiggle NFT-er mens teamet hans jobbet med å få dem flagget som stjålne. 

Detaljer om hackingen 

Detaljer om hvordan hacket fant sted dukket snart opp. Det ble avslørt at hacket mest sannsynlig fant sted etter at han godkjente en ondsinnet signatur, som gjorde det mulig for angriperen å overføre et betydelig antall av Roses NFT-er ut av lommeboken. En analyse av hacket avslørte at angriperen klarte å sifon av minst én Autoglyph, som har en gulvpris på 345 ETH, Chromie Squiggles, som var verdt rundt 332.5 ETH, og ni OnChainMonkey-varer, verdt rundt 7.2 ETH. 

Visepresidenten i PROOF, entiteten bak Moonbirds-samlingen, Arran Schlosberg, utdypet hacket på Twitter, og avslørte at Rose var offer for en phishing-utnyttelse som lurte ham til å signere en ondsinnet signatur og tillot angriperen å stjele de aktuelle NFT-ene. 

"Tidligere i kveld ble @kevinrose phished til å signere en ondsinnet signatur som tillot hackeren å overføre et stort antall høyverdi-tokens. Her er en oversikt over hva som skjedde, vår umiddelbare respons og vår pågående innsats. Dette var et klassisk stykke sosial ingeniørkunst som lurte KRO til en falsk trygghet. Det tekniske aspektet ved hacket var begrenset til å lage signaturer akseptert av OpenSeas markedsplasskontrakt.»

Kryptoanalytiker foobar forklarte at Rose hadde godkjent en OpenSea markedsplasskontrakt for å flytte alle NFT-ene hans hver gang han signerte transaksjoner, og sa at Rose alltid var en ondsinnet signatur unna katastrofe. Analytikeren la til at Rose burde ha lagt eiendeler i en egen lommebok. 

"Å flytte eiendeler fra hvelvet ditt til en separat 'selgende' lommebok før notering på NFT-markedsplasser vil forhindre dette."

Den ondsinnede signaturen ble aktivert av havhavnsmarkedsplasskontrakten, som, selv om det er et kraftig verktøy, også er farlig hvis brukerne ikke er klar over hvordan det fungerer. 

Stjålne eiendeler på farten

Foobar avslørte også at de stjålne eiendelene var verdsatt godt over gulvprisen, noe som betyr at tapet kan bli betydelig større. On-chain kryptoanalytiker ZachXBT sporet de stjålne eiendelene, og avslørte at utnytteren sendte eiendelene til FixedFloat, en børs på Bitcoin Lightning Network. Midlene ble deretter byttet inn i BTC og satt inn i en Bitcoin-mikser. 

«For tre timer siden ble Kevin phishet for NFT-er verdt 1.4 millioner USD+. Tidligere i dag stjal den samme svindleren 75 ETH fra et annet offer. Når vi kartlegger dette, kan vi se en klar trend med å sende de stjålne midlene til FixedFloat og bytte for BTC før vi setter inn til en bitcoin-mikser.»

Bankless-grunnlegger Ryan Sean Adams påpekte hvor lett Rose ble utnyttet og oppfordret front-end-ingeniører til å forbedre brukeropplevelsen.

Ansvarsfraskrivelse: Denne artikkelen er kun gitt for informasjonsformål. Det tilbys eller er ikke ment å brukes som juridisk, skatt, investering, økonomisk eller annen rådgivning.