NFT 收藏家 Larry Lawliet 週一因涉嫌社會工程攻擊而損失了 XNUMX 個昂貴的 Bored Apes 和一組其他 NFT。
肇事者似乎欺騙 Lawliet 簽署虛假交易,使他們能夠訪問他的 NFT。 然後,他們使用此存取權限將 NFT 轉移到自己的錢包中。
Lawliet 了 在 Twitter 上稱,他的 13 個 NFT 已被攻擊者竊取,其中包括 2.7 個 Bored Apes、XNUMX 個 Mutant Apes 和 XNUMX 個 Doodle。 根據從 Lawliet 錢包中被盜的 NFT 的底價計算,Lawliet 的損失總計為 XNUMX 萬美元。
怎麼回事
當攻擊者(可能是同一個人)拿走受害者的麻煩時,受害者的麻煩就開始了。 控制 另一個名為 Moschi Mochi 的 NFT 系列的 Discord 伺服器發布了關於額外薄荷糖的虛假公告。 該騙局涉及邀請 Moschi Mochi 社區的成員參與額外鑄造 1,000 個 NFT,以獲得贏得 25,000 美元抽獎的機會。
查看 Lawliet 在 Etherscan 上的錢包地址顯示,他與假造幣廠進行了交互,並發送了 0.49 ETH,以換取 14 個詐騙 NFT。 轉讓後,Lawliet 的交易歷史顯示大量「設定批准」交易。
這些設定核准的交易都將駭客的「0xD27」位址設定為核准地址。 這意味著受害者在用自己的錢包簽署這些交易時被欺騙調用“setApprovalForAll”調用。
被盜的 NFT。 影像: Twitter.
這裡的關鍵是,當有人透過 MetaMask 等應用程式內瀏覽器批准區塊鏈交易時,並不總是清楚他們向網站授予了哪些權限。 在這種情況下,受害者認為這些是常規交易,而實際上他正在放棄對自己的 NFT 的控制權。
然而,MetaMask 上有一項功能,可讓使用者在執行交易之前檢查交易的確切性質。 此步驟涉及單擊“詳細資訊”選項卡,然後顯示有關交易的詳細信息,包括重要信息,例如獲得批准的地址。 但在 NFT 鑄幣熱潮中,投資者可能不會總是檢查這一點。
這個特定的合約調用 - setApprovalForAll - 允許駭客啟動「transferFrom」合約調用,使他們能夠將受害者的所有 Bored Apes 轉移到另一個錢包。 在程式設計中,呼叫允許使用者執行另一個合約的程式碼,在本例中,即能夠將 NFT 從受害者轉移給駭客。
一旦攻擊者獲得控制受害者 NFT 的權限,他們就開始將其轉移到另一個錢包。 駭客能夠使用這種方法來獲得 Bored Apes 和其他 NFT,包括 Mutant Apes 和 Doodles。
可能的預防措施
像 BAYC 這樣的流行 NFT 收藏品的所有者仍然是社會工程攻擊的目標,這些攻擊旨在竊取他們有價值的 NFT。 截至撰寫本文時,該藏品的底價超過 118 ETH(320,000 美元)。
針對此類事件,安全專家通常建議使用“一次性錢包”,即僅包含少量資金來支付汽油費的地址。 因此,如果交易恰好是網路釣魚攻擊,受害者的損失將大大有限。
在批准之前驗證交易詳細資訊也可能是有用的預防措施。 飾演 塔爾貝裡 放它,只應批准具有相對較長交易歷史的「值得信賴的合約」。 像 MetaMask 這樣的網路錢包可以顯示交易的詳細信息,並且可以成為發現網路釣魚攻擊的有用工具。
©2022 The Block Crypto,Inc.保留所有權利。 本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
資料來源:https://www.theblockcrypto.com/post/132567/nft-collector-loses-2-7-million-in-bored-ape-nfts-and-derivatives?utm_source=rss&utm_medium=rss