NFT 收藏家 Larry Lawliet 周一因涉嫌社会工程攻击而失去了七只昂贵的无聊猿和一组其他 NFT。
肇事者似乎诱骗 Lawliet 签署虚假交易,允许他们访问他的 NFT。 然后,他们使用此访问权限将 NFT 转移到他们自己的钱包中。
Lawliet 了 在 Twitter 上说,他的 13 个 NFT 已被攻击者窃取,其中包括 2.7 只无聊猿、XNUMX 只变异猿和 XNUMX 幅涂鸦。 根据从他钱包中被盗的 NFT 的底价,Lawliet 的损失总计为 XNUMX 万美元。
怎么回事
当攻击者(可能是同一个人)采取行动时,受害者的麻烦就开始了 控制 另一个名为 Moschi Mochi 的 NFT 集合的 Discord 服务器发布了关于额外薄荷的虚假公告。 该骗局涉及邀请 Moschi Mochi 社区的成员参与额外的 1,000 NFT 铸造,以有机会赢得 25,000 美元的抽奖。
查看 Lawliet 在 Etherscan 上的钱包地址显示,他与假造币厂进行了交互,并发送了 0.49 ETH 以换取 14 个骗局 NFT。 在转移之后,Lawliet 的交易历史记录显示了许多“设置批准”交易。
这些设置批准交易都将黑客的“0xD27”地址设置为批准地址。 这意味着受害者在用自己的钱包签署这些交易时被欺骗调用“setApprovalForAll”调用。
被盗的 NFT。 图片: Twitter.
这里的关键是,当有人通过 MetaMask 等应用内浏览器批准区块链交易时,并不总是清楚他们授予网站的权限。 在这种情况下,受害者认为它们是常规交易,而实际上他是在控制自己的 NFT。
然而,MetaMask 上有一项功能,允许用户在执行交易之前检查其交易的确切性质。 此步骤涉及单击“详细信息”选项卡,然后显示有关交易的详细信息,包括重要信息,例如获得批准的地址。 但在 NFT 铸币热潮期间,投资者可能并不总是检查这一点。
这个特殊的合约调用——setApprovalForAll——允许黑客发起“transferFrom”合约调用,这使他们能够将所有受害者的无聊猿转移到另一个钱包。 在编程中,调用允许用户执行另一个合约的代码,在这种情况下,可以将 NFT 从受害者转移给黑客。
一旦攻击者有权控制受害者的 NFT,他们就会开始将它们转移到另一个钱包。 黑客能够使用这种方法获取 Bored Apes 和其他 NFT,包括 Mutant Apes 和 Doodles。
可能的预防措施
BAYC 等流行 NFT 集合的所有者继续成为旨在窃取其宝贵 NFT 的社会工程攻击的目标。 截至撰写本文时,该系列的底价超过 118 ETH(320,000 美元)。
针对此类事件,安全专家通常建议使用“燃烧钱包”,即仅包含少量资金来支付汽油费的地址。 因此,如果交易恰好是网络钓鱼攻击,受害者的损失将大大限制。
在批准之前验证交易细节也可能是一种有用的预防措施。 作为 Tal Be'ery 把它, 批准应该只发给交易历史相对较长的“可信合同”。 像 MetaMask 这样的网络钱包会显示交易的详细信息,并且可以成为发现网络钓鱼攻击的有用工具。
©2022 The Block Crypto,Inc.保留所有权利。 本文仅供参考。 不提供或不打算将其用作法律,税务,投资,财务或其他建议。
资料来源:https://www.theblockcrypto.com/post/132567/nft-collector-loses-2-7-million-in-bored-ape-nfts-and-derivatives?utm_source=rss&utm_medium=rss