Частен търг на OpenSea, разтревожен от NFT измамници

• Функцията „безгазови продажби“ на OpenSea послужи като решаващо оръжие за NFT хакерите. 
• От жертвите се изисква да подпишат безвреден договор, подобен на подпис за влизане.

Най-голямата NFT пазар OpenSea потребителите бяха подложени на риск поради нов хак, включващ функция на OpenSea чрез фишинг уебсайтове. С нарастването на популярността на незаменимите токени (NFT) измамниците, които често се опитват да се възползват от потребителите на пазара на NFT, се увеличиха в активността. 

OpenSea има функция, наречена „продажби без газ“, която позволява на потребителите да продават NFT чрез договори, като подписват нечетливи съобщения. На 23 декември м.г. Харпия, първата защитна стена във веригата за предотвратяване на хакове. Предупреди потребителите на NFT чрез туит за новата атака, включваща продажби без газ.

Как фишинг уебсайтът привлече потребители?

Потребителите трябва да одобрят заявка за подпис с нечетливо съобщение, за да направят безгазови продажби на платформата OpenSea. Освен това потребителите могат да разрешат частни търгове с нечетливи подписи, като използват тази функция. Въпреки това, за да влязат във фишинг уебсайт, жертвите трябва да подпишат безвреден договор, който е подобен на „подпис за влизане“.

Според старостuцемент, този подпис за влизане е оферта за частна продажба на NFT на потребителите за 0 ETH на адреса на хакера. След като потребителите на NFT го подпишат, NFT ще бъдат прехвърлени към адреса на портфейла на хакера.

Harpie заяви, че подписите често се представят като стъпка, необходима за влизане и достъп до уебсайта. Harpie твърди, че като са се възползвали от функцията на OpenSea, хакерите са успели да откраднат милиони цифрови активи. По-късно експертът установи разликата между заявките на измамниците и потребителите. 

Въпреки това, Harpie също посочи как измамник е откраднал 14 Bored Ape NFT, използвайки функцията за подпис без газ на 17 декември. Хакерът е извършил широко социално инженерство, за да отведе жертвата до фалшив NFT уебсайт. И накарайте притежателя да подпише договора. След това портфейлът на жертвата е откраднат за няколко милиарда.