پلتفرم OpenSea، یک پلتفرم پرچمدار NFT، تعداد دقیق کاربرانی را که توکن های آنها توسط یک مهاجم اخیر به سرقت رفته را فاش کرده است. همچنین، CTO آن توضیح میدهد که هر دارنده توکن NFT باید هنگام کلیک کردن روی «Allow» در کیف پول متامسک بسیار مراقب باشد. در این خبر به بررسی حمله به پلتفرم OpenSea می پردازیم.
حمله به پلتفرم OpenSea
طبق بیانیه ای که در حساب رسمی توییتر OpenSea به اشتراک گذاشته شده است، اولین نتایج تحقیقات قبلاً ثابت کرده است که همه افراد درگیر قربانی یک حمله فیشینگ بوده اند، نه جریان پایگاه داده پلتفرم.
لیست قربانیان به جای 32 حساب به 17 حساب کاهش یافت. “فهرست طولانی” شامل افرادی بود که به نوعی با قرارداد مهاجم تعامل داشتند اما نشانه های خود را از دست ندادند.
OpenSea متوجه شد که هیچ فعالیتی توسط مهاجمان در 15 ساعت گذشته نشان داده نشده است.
در 20 فوریه 2022، کلاهبرداران شروع به ارسال ایمیل های فیشینگ با جعل هویت تیم OpenSea کردند. کارشناسان امنیت سایبری فاش کردند که مهاجمان، قربانیان را وادار به مجوز درخواست Atomic Match_ مسئول منطق انتقال توکن NFT در OpenSea کردند.
سپس، مهاجم همان درخواست را دوباره به یک حساب قانونی OpenSea ارسال کرد. به دلیل تعامل خاص و ذکر شده آن – که توسط مالک NFT امضا شده است – منجر به ارسال تمام توکن های قربانی برای مهاجم شد.
موضوع “آموزش فنی وب 3” از مدیر ارشد فناوری OpenSea را بررسی کنید
تا زمان انتشار، خسارات خالص قربانیان 1.7 میلیون دلار برآورد شده است. در طول این حمله، اظهارات نادرستی در کریپتو توییتر درباره کلاهبرداری «200 میلیون دلاری» منتشر شد.
Nadav Hollander، بنیانگذار پروتکل Dharma DeFi و CTO OpenSea تاکید کرد که این حمله نحوه برخورد علاقه مندان به وب 3 با امضای پیام های خارج از زنجیره را تغییر خواهد داد:
آموزش عدم اشتراک گذاری عبارات اولیه یا ارسال تراکنش های ناشناخته در فضای ما گسترده تر شده است. با این حال، امضای پیامهای خارج از زنجیره نیاز به توجه یکسانی دارد.
او افزود که OpenSea در حال مهاجرت به نوع قرارداد ایمن تر است تا احتمال چنین حملاتی را کاهش دهد و همه کاربران را در مورد رویدادهای غیر عادی زنجیره ای “هشدار” نگه دارد.
منبع: یوتودی
نظرات کاربران