Larry Lawliet นักสะสม NFT สูญเสีย Bored Apes ราคาแพงเจ็ดตัวและ NFT อีกชุดหนึ่งจากการโจมตีทางวิศวกรรมสังคมที่น่าสงสัยในวันจันทร์
ผู้กระทำผิดดูเหมือนจะหลอกล่อ Lawliet ให้ลงนามในธุรกรรมปลอมที่อนุญาตให้เข้าถึง NFT ของเขาได้ จากนั้นพวกเขาก็ใช้การเข้าถึงนี้เพื่อโอน NFT ไปยังกระเป๋าเงินของตนเอง
Lawliet เอา ใน Twitter โดยบอกว่า NFT ของเขา 13 ตัวถูกขโมยไปโดยผู้โจมตี รวมถึง Bored Apes เจ็ดตัว ลิงกลายพันธุ์ 2.7 ตัว และ Doodle หนึ่งตัว โดยรวมแล้ว การสูญเสียของ Lawliet อยู่ที่ XNUMX ล้านดอลลาร์ ตามราคาพื้นของ NFT ที่ขโมยมาจากกระเป๋าเงินของเขา
มันเกิดขึ้นได้อย่างไร
ปัญหาของเหยื่อเริ่มขึ้นเมื่อผู้โจมตี (น่าจะเป็นคนเดียวกัน) ไป ควบคุม ของเซิร์ฟเวอร์ Discord ของคอลเลกชัน NFT อื่นที่เรียกว่า Moschi Mochi เพื่อโพสต์ประกาศปลอมเกี่ยวกับเหรียญกษาปณ์พิเศษ การหลอกลวงนี้เกี่ยวข้องกับการเชิญสมาชิกของชุมชน Moschi Mochi ให้เข้าร่วมใน NFT พิเศษ 1,000 NFT เพื่อลุ้นรับรางวัลราฟเฟิลมูลค่า 25,000 ดอลลาร์
การดูที่อยู่กระเป๋าเงินของ Lawliet บน Etherscan แสดงให้เห็นว่าเขาโต้ตอบกับเหรียญกษาปณ์ปลอมและส่ง 0.49 ETH เพื่อแลกกับ NFT หลอกลวง 14 รายการ ทันทีหลังการโอน ประวัติการทำธุรกรรมของ Lawliet จะแสดงธุรกรรม "อนุมัติการอนุมัติ" จำนวนมาก
ธุรกรรมการอนุมัติที่กำหนดเหล่านี้ทั้งหมดมีที่อยู่ "0xD27" ของแฮ็กเกอร์ที่กำหนดเป็นที่อยู่ที่ได้รับอนุมัติ ซึ่งหมายความว่าเหยื่อถูกหลอกให้โทรหา "setApprovalForAll" เมื่อลงนามในธุรกรรมเหล่านี้ด้วยกระเป๋าเงินของเขาเอง
NFT ที่ถูกขโมย ภาพ: Twitter.
สิ่งสำคัญในที่นี้คือ เมื่อมีคนอนุมัติธุรกรรมบล็อคเชนผ่านเบราว์เซอร์ในแอพ เช่น MetaMask ไม่ชัดเจนเสมอไปว่าพวกเขาให้สิทธิ์อะไรแก่เว็บไซต์ ในกรณีนี้ เหยื่อสันนิษฐานว่าเป็นธุรกรรมปกติ โดยแท้จริงแล้วเขาให้การควบคุม NFT ของเขาเอง
อย่างไรก็ตาม มีคุณลักษณะบน MetaMask ที่อนุญาตให้ผู้ใช้ตรวจสอบลักษณะธุรกรรมที่แน่นอนก่อนที่จะดำเนินการ ขั้นตอนนี้เกี่ยวข้องกับการคลิกแท็บ "รายละเอียด" ซึ่งจะแสดงรายละเอียดเกี่ยวกับธุรกรรมรวมถึงข้อมูลสำคัญ เช่น ที่อยู่ที่ได้รับอนุมัติ แต่ในช่วงเร่งรีบสำหรับการทำเหรียญกษาปณ์ NFT นักลงทุนอาจไม่ได้ตรวจสอบสิ่งนี้เสมอไป
การเรียกตามสัญญาโดยเฉพาะ — setApprovalForAll — อนุญาตให้แฮ็กเกอร์เริ่มต้นการเรียกสัญญา “transferFrom” ซึ่งทำให้พวกเขาสามารถโอน Bored Apes ของเหยื่อทั้งหมดไปยังกระเป๋าเงินอื่นได้ ในการเขียนโปรแกรม การโทรอนุญาตให้ผู้ใช้รันโค้ดของสัญญาอื่น ในกรณีนี้คือความสามารถในการโอน NFT จากเหยื่อไปยังแฮ็กเกอร์
เมื่อผู้โจมตีได้รับอนุญาตให้ควบคุม NFT ของเหยื่อแล้ว พวกเขาก็เริ่มย้ายไปยังกระเป๋าเงินอื่น แฮ็กเกอร์สามารถใช้วิธีนี้เพื่อนำ Bored Apes และ NFT อื่นๆ รวมถึง Mutant Apes และ Doodles
มาตรการป้องกันที่เป็นไปได้
เจ้าของคอลเลกชัน NFT ยอดนิยมเช่น BAYC ยังคงเป็นเป้าหมายของการโจมตีทางวิศวกรรมสังคมโดยมีจุดประสงค์เพื่อขโมย NFT อันมีค่าของพวกเขา ในขณะที่เขียน คอลเล็กชันมีราคาพื้นมากกว่า 118 ETH (320,000 ดอลลาร์)
ในการตอบสนองต่อเหตุการณ์เช่นนี้ ผู้เชี่ยวชาญด้านความปลอดภัยมักแนะนำให้ใช้ "Burner Wallets" ที่อยู่ซึ่งมีเงินทุนเพียงเล็กน้อยเพื่อครอบคลุมค่าธรรมเนียมน้ำมัน ดังนั้น หากธุรกรรมเกิดขึ้นเป็นการโจมตีแบบฟิชชิ่ง การสูญเสียของเหยื่อจะถูกจำกัดอย่างมาก
การตรวจสอบรายละเอียดธุรกรรมก่อนอนุมัติอาจเป็นมาตรการป้องกันที่มีประโยชน์ อย่าง ตัล บีเอรี วางไว้การอนุมัติควรไปที่ "สัญญาที่น่าเชื่อถือ" ที่มีประวัติการทำธุรกรรมที่ค่อนข้างยาวเท่านั้น เว็บวอลเล็ตอย่าง MetaMask จะแสดงรายละเอียดของธุรกรรมและสามารถเป็นเครื่องมือที่มีประโยชน์ในการตรวจจับการโจมตีแบบฟิชชิ่ง
© 2022 The Block Crypto, Inc. สงวนลิขสิทธิ์ บทความนี้จัดทำขึ้นเพื่อให้ข้อมูลเท่านั้น ไม่มีการเสนอหรือมีจุดประสงค์เพื่อใช้เป็นคำแนะนำทางกฎหมายภาษีการลงทุนการเงินหรือคำแนะนำอื่น ๆ
ที่มา: https://www.theblockcrypto.com/post/132567/nft-collector-loses-2-7-million-in-bored-ape-nfts-and-derivatives?utm_source=rss&utm_medium=rss