Kreator Moonbirdsa Kevin Rose gubi 1,1 miliona dolara+ u NFT-ima nakon 1 pogrešnog poteza
Kevin Rose, suosnivač kolekcije nezamjenjivih tokena (NFT) Moonbirds, postao je žrtva phishing prevare koja je dovela do ukradenih njegovih ličnih NFT-ova u vrijednosti od više od 1,1 milion dolara.
Tvorac NFT-a i suosnivač PROOF-a podijelio je vijesti sa svojih 1,6 miliona pratilaca na Twitter-u 25. januara tražeći od njih da izbjegavaju kupovinu Squiggles NFT-ova dok ne uspiju da ih označi kao ukradene.
Upravo su me hakovali, ostanite sa nama za detalje – molimo vas da izbjegavate kupovinu bilo kakvih squiggles dok ih ne označimo (upravo izgubljeno 25) + nekoliko drugih NFT-ova (autoglif) …
— KΞVIN R◎SE (,) (@kevinrose) 25. januara 2023
“Hvala vam na svim ljubaznim riječima podrške. Slijedi kompletan izvještaj,” tada je on podijeljeno u zasebnom tvitu oko dva sata kasnije.
Podrazumijeva se da su Roseovi NFT-ovi istrošeni nakon potpisivanja zlonamjernog potpisa koji je prenio značajan dio njegovih NFT sredstava na eksploatatora.
GM – kakav dan!
Danas sam bio phished. Sutra ćemo sve detalje pokriti uživo, kao upozorenje, na twitter prostorima. Evo kako je to prošlo, tehnički: https://t.co/DgBKF8qVBK— KΞVIN R◎SE (,) (@kevinrose) 25. januara 2023
Nezavisna analiza iz Arkham-a je otkrio da je eksploatator izvukao najmanje jedan autoglif (345 ETH), 25 umjetničkih blokova — također poznatih kao Chromie Squiggle — (332,5 ETH) i devet OnChainMonkey stavki (7,2 ETH).
Ukupno je izvučeno najmanje 684,7 ETH (1,1 milion dolara).
Kako je Kevin Rose bio eksploatisan
Iako je podijeljeno nekoliko nezavisnih on-chain analiza, potpredsjednik PROOF-a — kompanije koja stoji iza Moonbirds-a — Arran Schlosberg objasnio je svojim 9.500 pratilaca na Twitteru da je Rose „prevarena da potpiše zlonamjerni potpis“ koji je omogućio eksploatatoru da prenese veliki broj tokena:
1/ Ovo je bio klasični dio društvenog inženjeringa, koji je prevario KRO u lažni osjećaj sigurnosti. Tehnički aspekt hakovanja bio je ograničen na izradu potpisa prihvaćenih OpenSea-ovim tržišnim ugovorom.
— Arran (@divergencearran) 25. januara 2023
Kripto analitičar „foobar“ je dalje razradio „tehnički aspekt hakovanja“ u zasebnom postu 25. januara, objašnjavajući da je Rose odobrio OpenSea marketplace ugovor za premještanje svih njegovih NFT-ova kad god bi Rose potpisao transakcije.
Dodao je da je Rose uvijek bila “jedan zlonamjerni potpis” udaljena od eksploatacije:
budite super oprezni kada potpisujete bilo šta, čak i offchain potpise. Kevin Rose je upravo izvukao NFT-ove u vrijednosti od ~2 miliona dolara iz svog trezora zbog potpisivanja jednog zlonamjernog paketa morske luke. Srećom, par stvari je zadržano, poput punk zombija (1000 ETH) kojim se ne može trgovati na OS-u pic.twitter.com/GXHR3NQHLf
— foobar (@0xfoobar) 25. januara 2023
Kripto analitičar je rekao da je Rose umjesto toga trebao “silosirati” svoju NFT imovinu u poseban novčanik:
“Premještanje imovine iz vašeg trezora u poseban novčanik za “prodaju” prije izlaska na NFT tržišta spriječit će ovo.”
Drugi analitičar na lancu, “Quit” je rekao svojih 71.400 pratilaca na Twitteru da je dodatno objasnio da je zlonamjerni potpis omogućen ugovorom o tržištu Seaport – platforma koja pokreće OpenSea:
Kevin Rose je upravo izgubio $2m+ u imovini potpisivanjem off-chain potpisa koji je stvorio listu za svu njegovu imovinu odobrenu OpenSea u jednom potezu.
Iako je luka moćan alat, može biti i opasna ako niste svjesni kako funkcionira.
Malo konteksta 1/
— quit (@0xQuit) 25. januara 2023
Quit je objasnio da su eksploatatori uspeli da postave sajt za krađu identiteta koji je mogao da vidi sredstva NFT koja se nalaze u Roseinom novčaniku.
Eksploatator je zatim postavio nalog da se sva imovina Rose koja je odobrena na OpenSea-u prenese na eksploatatora.
Rose je zatim potvrdio zlonamjernu transakciju, napomenuo je Quit.
Povezano: Bluechip NFT projekat Moonbirds potpisuje ugovor sa holivudskim agentima za talente UTA
U međuvremenu, foobar je primijetio da je većina ukradene imovine znatno iznad minimalne cijene, što znači da bi ukradeni iznos mogao biti i do 2 miliona dolara.
Quit je pozvao da korisnici OpenSea-a “moraju pobjeći” sa bilo koje druge web stranice koja poziva korisnike da potpišu nešto što izgleda sumnjivo.
NFT u pokretu
Analitičar na lancu “ZachXBT” podijelio je mapu transakcija sa svojih 350.300 pratilaca na Twitteru, koja pokazuje da je eksploatator poslao sredstva na FixedFloat – razmjenu kriptovaluta na Bitcoin sloju 2 “Lightning Network”.
Eksploatator je zatim prebacio sredstva u Bitcoin (BTC) i pre nego što je deponovao BTC u Bitcoin mikser:
Prije tri sata Kevin je phishing for $1.4m+ NFTs vrijednosti. Ranije danas isti prevarant je ukrao 75 ETH od druge žrtve.
Mapirajući ovo, možemo vidjeti jasan trend slanja ukradenih sredstava na FixedFloat i zamjene za BTC prije polaganja na bitcoin mikser. https://t.co/2yrFpfYttT pic.twitter.com/ZlywPYydwx
— ZachXBT (@zachxbt) 25. januara 2023
Član Crypto Twittera “Degentraland” rekao je svojih 67.000 pratilaca na Twitteru da je to “najtužnija stvar” koju su do sada vidjeli u prostoru kriptovaluta, dodajući da ako se neko može vratiti iz tako razornog eksploatacije, “to je on”:
Najtužnija stvar koju sam do sada video u kripto.@kevinrose novčanik istrošen.
Ako se neko može vratiti iz ovoga, onda je to on. pic.twitter.com/HZysg34qji
— Degentraland (@Degentraland) 25. januara 2023
U međuvremenu, osnivač Banklessa Ryan Sean Adams bio je bijesan zbog lakoće s kojom je Rose mogla biti iskorištena. U 25. januaru tweet, Adams je pozvao front-end inženjere da pokupe svoju igru i poboljšaju korisničko iskustvo (UX) kako bi spriječili takve prevare.
