OpenSea, незаменим пазар на токени, стана жертва на хак на основния си канал в Discord. Пробивът позволи на участниците в заплахата да публикуват фалшиви съобщения за партньорства между OpenSea и други проекти.
Хакнат канал Discord на OpenSea
OpenSea сподели a скрийншот на 6 май, показваща фалшивите новини за партньорства. Екранната снимка също съдържа връзка към фишинг уебсайт. Официалният акаунт в Twitter за поддръжка на OpenSea публикува, че сървърът на Discord за пазара на NFT е бил нарушен в петък сутринта. Компанията дори издаде предупреждение към потребителите, като ги призова да не следват нито една от връзките, публикувани в канала.
Първата публикация, направена от хакера, включва канал за обявяване, в който се твърди, че пазарът на NFT си е „партнирал с YouTube, за да въведе общността си в NFT пространството“. Компанията също така заяви, че ще публикува пропуск за монетен двор с OpenSea, за да позволи на притежателите да копират своя NFT проект безплатно.
Хакерът остана на сървъра дълго време, преди OpenSea да успее да възстанови акаунта. Хакерът обаче вече е предприел няколко опита да задейства потребителите да реагират на съобщението, като вдъхва страх от пропускане. Хакерът публикува последващи публикации и твърди, че 70% от доставките са били изсечени.
Хакерът също се опита да примами потребителите на OpenSea, като каза, че YouTube ще предложи „луди помощни програми“. Тези помощни програми ще бъдат предоставени на тези, които са заявили NFT. Те също така твърдят, че офертата ще бъде уникална и че няма да са необходими допълнителни кръгове за участие.
Показателите във веригата разкриват, че досега са били компрометирани 13 портфейла, а най-ценният NFT, който е бил откраднат, е Founders' Pass, оценен на 3.33 Ether, което се равнява на около $8900.
Уеб кукички, приписани на пробив в сървъра
Първите доклади казват, че натрапникът е приел Webhooks за достъп до контролите на сървъра. Webhooks са сървърни плъгини, които позволяват на друг софтуер да получава информация в реално време. Webhooks набира все по-голяма употреба като вектор на атака за хакери, тъй като улеснява обмена на съобщения с официалните акаунти на сървъра.
Webhooks са използвани не само за атака на Discord сървъра на OpenSea, но също така са били използвани за атака на популярни NFT колекции. Яхт клубът Bored Ape, KaijuKings и Doodles бяха разбити в началото на миналия месец, след като използваха подобна уязвимост, позволяваща на хакерите да използват официалните акаунти на сървъра, за да публикуват фишинг връзки.
Вашият капитал е изложен на риск.
Чети повече:
Източник: https://insidebitcoins.com/news/opensea-discord-server-hacked-increasing-the-risk-of-phishing-scams