OpenSea, en ikke-fungibel token-markedsplass, har blitt offer for et hack på Discord-kanalen sin. Bruddet har gjort det mulig for trusselaktørene å legge ut falske kunngjøringer om partnerskap mellom OpenSea og andre prosjekter.
OpenSeas Discord-kanal hacket
OpenSea delte en skjermbilde 6. mai viser de falske nyhetene om partnerskap. Skjermbildet inneholdt også en lenke til et phishing-nettsted. Den offisielle Twitter-kontoen for OpenSeas støtte postet at Discord-serveren for NFT-markedsplassen hadde blitt brutt fredag morgen. Selskapet ga til og med en advarsel til brukere og oppfordret dem til ikke å følge noen av lenkene som er lagt ut på kanalen.
Det første innlegget fra hackeren inkluderte en kunngjøringskanal som hevdet at NFT-markedet hadde "samarbeidet med YouTube for å bringe fellesskapet deres inn i NFT-området." Selskapet sa også at det ville publisere et mint-pass med OpenSea for å tillate innehavere å prege NFT-prosjektet uten kostnad.
Hackeren ble værende på serveren i lang tid før OpenSea kunne gjenopprette kontoen. Imidlertid hadde hackeren allerede engasjert seg i flere forsøk på å få brukere til å reagere på kunngjøringen ved å skape frykt for å gå glipp av noe. Hackeren la ut oppfølgingsinnlegg, og den hevdet at 70 % av forsyningen var preget.
Hackeren prøvde også å lokke brukerne på OpenSea ved å si at YouTube ville tilby «vanvittige verktøy». Disse verktøyene ville bli gitt til de som gjorde krav på NFT-ene. De hevdet også at tilbudet ville være unikt og at ytterligere runder ikke ville være nødvendig for deltakelse.
Beregninger på kjeden avslører at 13 lommebøker har blitt kompromittert så langt, og den mest verdifulle NFT som ble stjålet var Founders' Pass, verdsatt til 3.33 Ether, tilsvarende rundt $8900.
Webhooks tilskrives serverbrudd
De første rapportene sa at inntrengeren tok i bruk Webhooks for å få tilgang til serverkontrollene. Webhooks er serverplugins som lar annen programvare motta sanntidsinformasjon. Webhooks får økt bruk som angrepsvektor for hackere fordi de forenkler meldinger med de offisielle serverkontoene.
Webhooks har ikke bare blitt brukt til å angripe OpenSea discord-serveren, men har også blitt brukt til å angripe populære NFT-samlinger. Bored Ape Yacht Club, KaijuKIngs og Doodles ble brutt tidlig i forrige måned etter å ha utnyttet en lignende sårbarhet som tillater hackere å bruke de offisielle serverkontoene til å publisere phishing-lenker.
Kapitalen din er i faresonen.
Les mer:
Kilde: https://insidebitcoins.com/news/opensea-discord-server-hacked-increasing-the-risk-of-phishing-scams