Đồng sáng lập Moonbirds mất hơn 1,1 triệu đô la NFT vì bị lừa ký

[tapchibitcoin.io] 1 tuần trước

Kevin Rose, đồng sáng lập bộ sưu tập NFT Moonbirds, vừa trở thành nạn nhân của một vụ phishing scam, bị đánh cắp hơn 1,1 triệu đô la NFT cá nhân.

Moonbirds

Kevin Rose – Đồng sáng lập bộ sưu tập NFT Moonbirds

Cha đẻ dự án NFT và đồng sáng lập PROOF đã chia sẻ tin tức này với 1,6 triệu người theo dõi trên Twitter của anh vào ngày 25/1, yêu cầu tránh mua bất kỳ Squiggles NFT nào cho đến khi họ có thể đánh dấu những tài sản bị đánh cắp.

“Cảm ơn vì tất cả những lời động viên tốt bụng. Sẽ có cuộc phỏng vấn đầy đủ sắp tới”, anh ấy chia sẻ trong một tweet riêng khoảng hai giờ sau đó.

Theo tweet chính thức, NFT của Rose đã bị rút sau khi ký một chữ ký độc hại chuyển phần đáng kể tài sản của anh cho kẻ tấn công khai thác.

Một phân tích độc lập từ Arkham cho thấy kẻ tấn công khai thác đã trích xuất ít nhất 1 Autoglyph (345 ETH), 25 Art Blocks (còn được gọi là Chromie Squiggle — 332,5 ETH) và 9 OnChainMonkey (7,2 ETH).

Tổng cộng, ít nhất 684,7 ETH (1,1 triệu đô la) đã bị rút.

Kevin Rose đã bị tấn công khai thác như thế nào?

Trong khi một số phân tích độc lập on-chain đã được chia sẻ, Phó chủ tịch của PROOF – công ty đứng sau Moonbirds – Arran Schlosberg ghi nhận Rose “bị lừa ký một chữ ký độc hại” cho phép hacker chuyển số lượng lớn token.

Nhà phân tích “foobar” đã giải thích thêm về “khía cạnh kỹ thuật của vụ hack” trong một bài đăng riêng vào ngày 25/1, rằng Rose đã phê duyệt hợp đồng trên thị trường OpenSea để di chuyển tất cả NFT của anh bất cứ khi nào Rose ký giao dịch. Theo anh, ranh giới giữa việc Rose bị tấn công khai khác chỉ cách “một chữ ký độc hại”.

Moonbirds

Nguồn: foobar

Nhà phân tích cho biết thay vào đó, Rose nên “giữ” NFT của mình vào một ví riêng:

“Chuyển tài sản từ kho tiền của bạn sang một ví “bán” riêng biệt trước khi niêm yết trên các thị trường NFT sẽ ngăn chặn điều này”.

Theo nhà phân tích on-chain “Quit”, chữ ký độc hại đã được kích hoạt bởi hợp đồng trên thị trường Seaport — nền tảng cung cấp năng lượng cho OpenSea. Quit giải thích rằng những kẻ tấn công khai thác đã thiết lập một trang phishing có thể xem các tài sản NFT được giữ trong ví của Rose.

Sau đó, hacker thiết lập một lệnh cho tất cả tài sản của Rose đã được phê duyệt trên OpenSea để chuyển cho chúng.

Tiếp theo, Rose đã xác thực giao dịch độc hại, Quit lưu ý.

Trong khi đó, foobar lưu ý hầu hết các tài sản bị đánh cắp đều cao hơn nhiều so với giá sàn, có nghĩa là số tiền bị đánh cắp có thể lên tới 2 triệu đô la.

Quit thúc giục người dùng OpenSea “cần phải chạy trốn” khỏi bất kỳ trang web nào khác nhắc người dùng ký vào thứ gì đó có vẻ đáng ngờ.

Các NFT đang di chuyển

Nhà phân tích on-chain “ZachXBT” đã chia sẻ bản đồ giao dịch, cho thấy kẻ tấn công khai thác đã gửi tài sản đến FixedFloat — một sàn giao dịch trên layer 2 Bitcoin “Lightning Network”.

Moonbirds

Nguồn: ZachXBT

Sau đó, hacker đã chuyển tài sản thành Bitcoin trước khi gửi vào máy trộn Bitcoin:

Thành viên Crypto Twitter Degentraland chia sẻ đó là “điều đáng buồn nhất” mà họ từng thấy trong không gian tiền điện tử cho đến nay, đồng thời nói thêm nếu ai đó có thể quay trở lại sau một vụ tấn công khai thác tàn khốc như vậy, thì “chính là anh ấy”:

Moonbirds

Nguồn: Degentraland

Trong khi đó, nhà sáng lập Bankless Ryan Sean Adams đã rất tức giận với việc Rose bị lợi dụng một cách dễ dàng. Trong tweet ngày 25/1, Adams kêu gọi các kỹ sư front-end tiếp tục cải tiến game của họ và cải thiện trải nghiệm người dùng (UX) để ngăn chặn những trò gian lận như vậy diễn ra.