NFT Sammler verléiert $ 2.7 Millioune an Bored Ape NFTs an Derivate

NFT Sammler Larry Lawliet verluer siwen deier Bored Apes an eng Rei vun aneren NFTs zu engem verdächtegt sozialen Ingenieur Attack um Méindeg.

Den Täter schéngt de Lawliet ze trickéieren fir falsch Transaktiounen z'ënnerschreiwen, déi hinnen Zougang zu sengen NFTs ginn. Si hunn dann dësen Zougang benotzt fir d'NFTs op hiren eegene Portemonnaie ze transferéieren.

Lawliet geholl op Twitter gesot datt 13 vu senge NFTs vum Ugräifer geklaut goufen, dorënner siwen Bored Apes, fënnef Mutant Apes, an een Doodle. Am Ganzen ass dem Lawliet säi Verloscht op $ 2.7 Milliounen baséiert op de Buedempräis vun den NFTs, déi aus sengem Portemonnaie geklaut sinn.

Wéi et geschitt ass

Dem Affer seng Probleemer hunn ugefaang wéi en Ugräifer (wahrscheinlech déiselwecht Persoun) geholl huet Kontroll vum Discord Server vun enger anerer NFT Sammlung mam Numm Moschi Mochi fir eng falsch Ukënnegung iwwer eng extra Minze ze posten. De Scam huet d'Membere vun der Moschi Mochi Gemeinschaft invitéiert fir un enger extra Mint vun 1,000 NFTs deelzehuelen fir eng Chance fir eng $25,000 Tombola ze gewannen.

E Bléck op d'Lawliet Portemonnaie Adress op Etherscan weist datt hien mat der falscher Minze interagéiert an 0.49 ETH am Austausch fir 14 vun de Scam NFTs geschéckt huet. Direkt nom Transfert weist dem Lawliet seng Transaktiounsgeschicht vill "Set Genehmegung" Transaktiounen.

Dës gesat Genehmegungstransaktiounen haten all dem Hacker seng "0xD27" Adress als approuvéiert Adress gesat. Dëst bedeit datt d'Affer getraff gouf fir den "setApprovalForAll" Uruff ze ruffen wann Dir dës Transaktioune mat sengem eegene Portemonnaie ënnerschreift.

D'NFTs déi geklaut goufen. Bild: Twitter.

Eng Schlëssel Saach hei ass datt wann iergendeen eng Blockchain Transaktioun iwwer en In-App Browser wéi MetaMask guttgeheescht, et ass net ëmmer kloer genau wéi eng Permissiounen se der Websäit ginn. An dësem Fall huet d'Affer ugeholl datt si reegelméisseg Transaktiounen waren, wann hien tatsächlech d'Kontroll iwwer seng eege NFTs ausginn.

Et gëtt awer eng Feature op MetaMask déi d'Benotzer erlaabt d'exakt Natur vun hiren Transaktiounen z'ënnersichen ier se se ausféieren. Dëse Schrëtt beinhalt d'Klick op d'"Detailer" Tab déi dann Detailer iwwer d'Transaktioun weist, inklusiv vital Informatioun wéi Adressen déi Genehmegung kréien. Awer wärend der Rush fir eng NFT Mint, kënnen Investisseuren dëst net ëmmer kontrolléieren.

Dëse spezielle Kontrakt Uruff - setApprovalForAll - huet den Hacker erlaabt den "TransferFrom" Kontrakt Uruff ze initiéieren, deen et erlaabt huet all d'Affer Bored Apes an eng aner Portemonnaie ze transferéieren. An der Programméierung erlaabt en Uruff e Benotzer de Code vun engem anere Kontrakt auszeféieren, an dësem Fall d'Fäegkeet fir NFTs vum Affer op den Hacker ze transferéieren.

Wann den Ugräifer d'Erlaabnis hat fir d'NFTs vum Affer ze kontrolléieren, hunn se ugefaang se an en anere Portemonnaie ze plënneren. Den Hacker konnt dës Methode benotze fir d'Bored Apes an aner NFTs inklusiv Mutant Apes an Doodles ze huelen.

Méiglech präventiv Moossnamen

D'Besëtzer vu populäre NFT Sammlungen wéi BAYC si weider Ziler vu sozialen Ingenieurattacke fir hir wäertvoll NFTs ze klauen. Zënter der Zäit vum Schreiwen huet d'Kollektioun e Buedempräis vun iwwer 118 ETH ($ 320,000).

Als Äntwert op Tëschefäll wéi dës, roden Sécherheetsexperten allgemeng d'Benotzung vu "Brenner Portemonnaien", Adressen déi nëmmen e klenge Betrag u Fongen enthalen fir Gasfraisen ze decken. Also, wann d'Transaktioun e Phishing Attack ass, gëtt de Verloscht vum Affer wesentlech limitéiert.

Transaktiounsdetailer z'iwwerpréiwen virum Genehmegung kéint och eng nëtzlech präventiv Moossnam sinn. Als Tal Be'ery drŽchen, Genehmegungen sollten nëmmen op "vertrauenswierdeg Kontrakter" mat relativ laang Transaktiounsgeschichten goen. Web Portemonnaien wéi MetaMask weisen Detailer vun Transaktiounen a kënnen e nëtzlecht Tool sinn fir Phishingattacken ze gesinn.

© 2022 The Block Crypto, Inc. All Rechter reservéiert. Dësen Artikel ass nëmme fir Informatioun Zwecker zur Verfügung gestallt. Et gëtt net ugebueden oder geduecht fir als legal, Steier, Investitioun, finanziell oder aner Berodung benotzt ze ginn.