关键精华
- OpenSea 周五早上在其 Discord Server 中确认了一个漏洞。
- 一名黑客指示用户通过网络钓鱼链接伪造“YouTube Genesis Mint Passes”。
- 链上数据显示,黑客造成的损失目前很小,到目前为止只有 XNUMX 个用户丢失了 NFT。
分享此文章
OpenSea Discord 服务器于周五早上遭到黑客攻击。 来自受感染的 OpenSea Discord 服务器机器人的一系列帖子指示用户从网络钓鱼链接中铸造“YouTube Genesis Mint Pass”。
OpenSea Discord 服务器被黑
最大的 NFT 市场的 Discord 已被黑客入侵。
A 鸣叫 来自官方 OpenSea 支持的 Twitter 确认周五早上市场的 Discord 服务器存在漏洞。
黑客的第一篇帖子出现在世界标准时间凌晨 4:04 的公告频道中,称 OpenSea 已“与 YouTube 合作,将他们的社区带入 NFT 领域”。 该帖子继续说,合作伙伴关系将包括发布 100 个“YouTube Genesis Mint Pass”,允许持有者免费铸造合作项目。 该帖子以一个指向假造币网站的链接结尾,该网站旨在诱骗用户签署一项交易,使黑客能够将 NFT 从他们的钱包中转移出来。
在 OpenSea 员工能够重新获得控制权之前,黑客似乎能够在服务器上维持一段时间。 黑客成功地发布了最初虚假公告的后续行动,重新发布了虚假链接,并声明 70% 的供应已经被铸造,试图让毫无戒心的用户“害怕错过”。
来自的链上数据 Etherscan 表明黑客造成的损失目前很小。 到目前为止,总共只有 XNUMX 个钱包受到影响,其中最有价值的 NFT 是一个带有 市场价值 大约 0.84 ETH 或 2,300 美元。
早期报告表明,黑客利用 OpenSea Discord 服务器的 webhook 来获得对服务器控制的访问权限。 Webhook 是一个服务器插件,可为其他应用程序提供实时数据。 虽然 webhook 提供了有用的功能,但它们越来越多地被黑客用作攻击媒介,因为它们允许从官方服务器帐户向用户发送消息。
OpenSea Discord 服务器并不是最近成为 webhook 攻击受害者的唯一服务器。 XNUMX 月初,包括 Bored Ape Yacht Club、Doodles 和 KaijuKings 在内的几个著名 NFT 收藏的 Discords 妥协 使用类似的漏洞,允许黑客使用官方服务器帐户发布网络钓鱼链接。
这个故事正在打破,并将随着更多信息的提供而更新。
特别感谢 HttpPwnHub 识别黑客钱包。
披露:在撰写本文时,作者拥有 ETH 和其他几种加密货币。
分享此文章
资料来源:https://cryptobriefing.com/latest-opensea-attack-sees-hacker-infiltrate-discord/?utm_source=feed&utm_medium=rss