400 000 долларов NFT, украденных через вредоносную ссылку на сервис Premint NFT

2
Компьютерные новости и новости технологий на Game-Zoom

Web3 может быть рискованным рубежом, который требует мышления с высоким уровнем безопасности, чтобы выжить, поскольку пользователи службы белых списков NFT, Premint, узнали на собственном горьком опыте, когда вредоносная (но подозрительная) ссылка для входа украла их NFT. Поскольку напрямую украсть токены блокчейна из криптокошелька невозможно, умный хакер/мошенник должен использовать фишинговые атаки и невежество пользователей для кражи токенов. Пользователи могут избежать фишинговых атак, применяя операционную безопасность Web3 (или «opSec»), а также проявляя скептицизм и осторожность при запросах на отправку транзакций.

Коллекции невзаимозаменяемых токенов (NFT) — это эффективный способ для нового проекта или влиятельного лица привлечь капитал от инвесторов и фанатов при создании сообщества. Это часто включает в себя этап «предварительной чеканки», когда люди подписываются на розыгрыш, чтобы попасть в первую волну покупателей / получателей, и боты часто создаются для несправедливого увеличения шансов на выигрыш одного или нескольких мест. Premint — это служба «белого списка» NFT, где создатели могут устанавливать собственные критерии для проверки («белый список») кошельков, которые могут участвовать в предварительной монете (т. е. требуют проверки в социальных сетях, имеют достаточный баланс криптовалюты и/или владеют другим NFT). , а у коллекционеров есть панель инструментов, которая сообщает, какие предварительные монеты они выиграли. Однако, в отличие от торговых площадок NFT, таких как OpenSea, Premint никогда не берет на себя хранение и не облегчает передачу NFT, а также не требует отправки транзакций для использования.

По данным CryptoSlate, около 400 000 долларов NFT пользователей были украдены из их кошельков с помощью вредоносной ссылки для входа на веб-сайте Premint 17 июля. В официальном сообщении Premint в Twitter утверждается, что неизвестная третья сторона манипулировала файлом веб-сайта, который затем представил вредоносный запрос на подключение кошелька. Аутентификация с помощью кошелька обычная для входа в Web3, но вместо этого подсказка инициировала подозрительную транзакцию. Хотя у всех жертв была возможность отклонить транзакцию, те, кто подтвердил ее, дали смарт-контракту злоумышленника полное разрешение на перевод всех токенов из многих коллекций NFT в кошельки злоумышленника, в результате чего было украдено NFT на сумму более 400 000 долларов.

OpSec имеет решающее значение для Web3

В мире Web3, блокчейна и децентрализованной Метавселенной пользователи должны практиковать некоторую операционную безопасность наряду со здоровым скептицизмом. Вредоносные транзакции бывает невозможно отличить от благонамеренных, и настоятельно рекомендуется использовать «сжигающие кошельки» для уменьшения ущерба, если/когда одна такая транзакция будет случайно подтверждена. В этой системе с двумя кошельками накопительный кошелек действует как одноразовая учетная запись, которая отправляет транзакции, собирает токены, тестирует новые приложения Web3 в первый раз и передает все несущественные токены, которые он получает, в основной кошелек. В свою очередь, основной кошелек действует как сберегательный или безопасный депозитный счет и редко взаимодействует с приложениями Web3. Эта практика значительно снижает возможности фишинговых атак с целью кражи токенов.

Что будет с украденными NFT, еще предстоит увидеть, но если они не будут возвращены своим владельцам, они теперь являются товаром черного рынка с поврежденной стоимостью, и, будучи заявленными как украденные, не могут быть проданы на OpenSea по их полной цене, пока они не будут были возвращены. Хакеру придется полагаться на децентрализованные торговые площадки NFT для продажи украденных токенов, надеясь, что тот, кто их купит, сначала не проверит историю владения токенами. Будем надеяться, что пострадавшие получат компенсацию за свои потери, другие пользователи и проекты примут к сведению на будущее, а Premint сможет определить, что произошло, и предоставить объяснение того, как третья сторона получила доступ к их производственной кодовой базе.

Последнее обновление 4 недели назад — Юра Венедиктов

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии