Proof’un CEO’su Kevin Rose, hacklenen cüzdanında bir NFT kimlik avı (phishing) saldırısının kurbanı oldu.
Olaydan sonra Rose, çalınan NFT’lerin kendi pazar yerinde satılmamasını için OpenSea ile birlikte çalıştı.
OpenSea’deki varlıkların saldırganın cüzdanına aktarıldığını gösteren verilerde cüzdandan Çarşamba günü 40 NFT kaybedildiği anlaşılıyor.
Twitter’da nft kimlik avı olayını doğrulayan Rose, nft now’a göre, Autoglyph , QQL Pass, Cool Cats, Damien Hirst’s The Currency, Admit One ve OnChainMonkey gibi koleksiyonlardan oluşan NFT’ler dahil 1,4 milyon dolardan fazla varlık kaybetti.
Kevin Rose was just lost $2m+ in assets by signing an off-chain signature that created a listing for all of his OpenSea approved assets in one go.
While seaport is a powerful tool, it can also be dangerous if you're not aware of how it works.
A bit of context 1/🧵
— quit (@0xQuit) January 25, 2023
Ardından, Proof’tan Arran Schlosberg olayda tam olarak neyin yanlış olduğunu açıklayarak, Rose’un, hackerın NFT’lere erişmesine izin veren kötü niyetli bir imzayı imzalaması için yanıltıldığını belirtti.
Yani tek bir yanlış adımla Rose, hacker’a cüzdan kimlik bilgilerini vermiş gibi görünüyor.
Bu, Rose’u yanlış bir güvenlik hissine sokmak için aldatan klasik bir toplum mühendisliği. Hack’in teknik yönü, OpenSea’nin pazar sözleşmesi tarafından kabul edilen imzaların işlenmesiyle sınırlı. Erişim için çoğunlukla birden fazla onay gerektiren Proof varlıkları ise etkilenmedi.
This was the one (and only) signature that Kevin Rose signed that cost him ~$2 million. pic.twitter.com/fHbPb7vc6y
— 6457.eth (@JKrantz) January 25, 2023
NFT kimlik avı (phishing) sorunu
Blockchain dedektifi ZachXBT, söz konusu hacker’ın aynı gün başka bir kurbandan da 75 ETH (121.000 dolar) çaldığını iddia etti. Hacker daha sonra, fonların kaynağını gizlemek için bir mixing (karıştırma) hizmetine aktarmadan önce, çaldıklarını BTC’ye dönüştürmek için bir kripto borsasını kullanmış.
Diğer taraftan ‘foobar’ isimli kripto meraklısı Twitter’da, böyle bir saldırının nasıl önlenebileceğini yazdı. Farklı cüzdanları, farklı amaçlar için ayırmayı ve NFT’leri aktif sıcak cüzdanlardan uzak tutmayı içeren “cüzdan silolama” olarak bilinen bir teknik önerdi.
Bu, varlıkların, ayrı bir satış onayı olmadan NFT pazar yerlerinde listelenmesini engelleyebilirdi.
Opak akıllı sözleşme kodunu tanınabilir eylemlere çeviren Fire gibi bir tarayıcı uzantısının kullanılması da, çok geç olmadan Rose’a şüpheli bir şeylerin olduğunu söyleyebilirdi.
