Чему научил взлом онлайн-площадки OpenSea
Хакерский взлом крупнейшей торговой онлайн-площадки OpenSea стал поводом, чтобы вспомнить о необходимости соблюдений правил безопасности в Web3.
В конце прошлой недели был совершен взлом крупной торговой площадки OpenSea. Хакер с помощью мошеннической схемы смог украсть множество NFT, принадлежащих пользователям площадки. Общая сумма хищения составляет несколько миллионов долларов. Злоумышленник обманом заставлял пользователей одобрять транзакции, после чего получал доступ к их кошелькам и похищал токены.
Выводом стал факт необходимости пересмотра системы безопасности платформы и обязательное выполнение всех действий, связанных с безопасностью в Web3.
OpenSea выявил недостатки в своей системе безопасности
Первые сообщения о пропаже NFT с кошельков пользователей поступили 19 февраля. Несколько пользователей обнаружили у себя недостаток ценных токенов. В том числе экземпляров из коллекций Bored Ape Yacht Club и Azuki. Общая стоимость похищенных невзаимозаменяемых токенов составляет примерно $3 млн.
20 февраля OpenSea дали комментарии по произошедшей ситуации и пояснили, что основная причина взлома — фишинговая атака, возникшая вне онлайн-платформы.
Всего в ходе мошеннических действий пострадало 32 пользователя. Схема была довольно простой: пользователь переходил по вредоносной ссылке, которая подписывала смарт-контракт, разрешающий переводить NFT пользователя на другой кошелек. За несколько часов мошенник смог вывести на свой адрес более 250 токенов.
На платформе OpenSea существует практика использования автономных подписей. Некоторые безгазовые сделки могут совершаться автоматически, даже если пользователь не находится сейчас в сети. Этим и воспользовался хакер. Жертвы подписали все транзакции с помощью протокола обмена NFT-токенами Wyvern, который активно используется OpenSea.
Как рассказывали в своих публикациях в Twitter обманутые пользователи, они все подписали вредоносный код, позволяющий злоумышленникам переводить NFT на целевой адрес. Сообщается, что мошенники связывались с жертвами под видом OpenSea.
Данная ситуация дает понять, что Web3 полон рисков и подписание транзакций смарт-контрактов требуют особого внимания.
Важно помнить несколько основных моментов, которые помогут пользователям защитить свои кошельки:
- Первый важный момент — возможность отозвать решения, связанные с криптокошельком. Пользователи, торгующие на OpenSea и дающие разрешение на офчейн-подпись с контрактом Wyvern Exchange V1 должны знать способы отозвать разрешения на трату средств из своего кошелька.
- Старайтесь исключить слепые подписи. В ситуации со взломом OpenSea стало ясно, что действительные подписи жертв были использованы в контракте Wyvern V1. Мошеннические контракты могли быть подписаны непреднамеренно. Крайне важно, чтобы пользователи проявляли осторожность при выполнении безгазовых подписей в OpenSea или других приложениях. Некоторые эксперты по блокчейну рекомендуют не одобрять все слепые подписи.
- Будьте осторожны с привязкой электронной почты и Web3. Некоторые, пострадавшие от мошенников пользователи, рассказывали, что получили электронное письмо от имени OpenSea, в котором содержалась некая ссылка. После перехода по этой ссылке выяснилось, что пользователи подписали транзакции на манипуляции со своим криптокошельком.
Также довольно действенным способом, чтобы защитить свои активы и предотвратить фишинговые атаки является перевод ценных активов на холодные кошельки. Они не связаны ни с какими приложениями и позволяют избежать любые нападки хакеров.
Автор: Екатерина, аналитик Freedman Сlub Crypto News
Хакерский взлом крупнейшей торговой онлайн-площадки OpenSea стал поводом, чтобы вспомнить о необходимости соблюдений правил безопасности в Web3.
В конце прошлой недели был совершен взлом крупной торговой площадки OpenSea. Хакер с помощью мошеннической схемы смог украсть множество NFT, принадлежащих пользователям площадки. Общая сумма хищения составляет несколько миллионов долларов. Злоумышленник обманом заставлял пользователей одобрять транзакции, после чего получал доступ к их кошелькам и похищал токены.
Выводом стал факт необходимости пересмотра системы безопасности платформы и обязательное выполнение всех действий, связанных с безопасностью в Web3.
OpenSea выявил недостатки в своей системе безопасности
Первые сообщения о пропаже NFT с кошельков пользователей поступили 19 февраля. Несколько пользователей обнаружили у себя недостаток ценных токенов. В том числе экземпляров из коллекций Bored Ape Yacht Club и Azuki. Общая стоимость похищенных невзаимозаменяемых токенов составляет примерно $3 млн.
20 февраля OpenSea дали комментарии по произошедшей ситуации и пояснили, что основная причина взлома — фишинговая атака, возникшая вне онлайн-платформы.
Всего в ходе мошеннических действий пострадало 32 пользователя. Схема была довольно простой: пользователь переходил по вредоносной ссылке, которая подписывала смарт-контракт, разрешающий переводить NFT пользователя на другой кошелек. За несколько часов мошенник смог вывести на свой адрес более 250 токенов.
На платформе OpenSea существует практика использования автономных подписей. Некоторые безгазовые сделки могут совершаться автоматически, даже если пользователь не находится сейчас в сети. Этим и воспользовался хакер. Жертвы подписали все транзакции с помощью протокола обмена NFT-токенами Wyvern, который активно используется OpenSea.
Как рассказывали в своих публикациях в Twitter обманутые пользователи, они все подписали вредоносный код, позволяющий злоумышленникам переводить NFT на целевой адрес. Сообщается, что мошенники связывались с жертвами под видом OpenSea.
Данная ситуация дает понять, что Web3 полон рисков и подписание транзакций смарт-контрактов требуют особого внимания.
Важно помнить несколько основных моментов, которые помогут пользователям защитить свои кошельки:
- Первый важный момент — возможность отозвать решения, связанные с криптокошельком. Пользователи, торгующие на OpenSea и дающие разрешение на офчейн-подпись с контрактом Wyvern Exchange V1 должны знать способы отозвать разрешения на трату средств из своего кошелька.
- Старайтесь исключить слепые подписи. В ситуации со взломом OpenSea стало ясно, что действительные подписи жертв были использованы в контракте Wyvern V1. Мошеннические контракты могли быть подписаны непреднамеренно. Крайне важно, чтобы пользователи проявляли осторожность при выполнении безгазовых подписей в OpenSea или других приложениях. Некоторые эксперты по блокчейну рекомендуют не одобрять все слепые подписи.
- Будьте осторожны с привязкой электронной почты и Web3. Некоторые, пострадавшие от мошенников пользователи, рассказывали, что получили электронное письмо от имени OpenSea, в котором содержалась некая ссылка. После перехода по этой ссылке выяснилось, что пользователи подписали транзакции на манипуляции со своим криптокошельком.
Также довольно действенным способом, чтобы защитить свои активы и предотвратить фишинговые атаки является перевод ценных активов на холодные кошельки. Они не связаны ни с какими приложениями и позволяют избежать любые нападки хакеров.
Автор: Екатерина, аналитик Freedman Сlub Crypto News
Самые крупные ограбления в истории
Криптовалюта возвращает нам контроль над собственными финансами, по сути, позволяя становится «самостоятельными
Рейтинг из топ-50 блокчейнов по
Популярный журнал Forbes составил рейтинг ТОП-50 блокчейнов, получивших применение в разных сферах жизнедеятельности
Были найдены настоящие имена
Шумная коллекция NFT собрала миллионы и получила активную поддержку десятков знаменитостей. Но анонимность основателей
Обезьяны-мутанты делают кассу:
Объемы торгов NFT на маркетплейсе OpenSea демонстрируют значительный рост с начала нового года. Причина этого в
Самые популярные NFT – Bored Ape
Платформа для анализа и отслеживания NFT в режиме реального времени NonFungible.com сообщила о самых высоких продажах
Курс криптовалют
BTC
ETH
EOS
XRP
LTC