Kevin Rose, Ketua Pegawai Eksekutif dan pengasas Proof, menjadi mangsa yang jelas Phishing menyerang, dengan dompetnya yang digodam dianggarkan menyimpan NFT yang jarang berlaku bernilai berjuta-juta.
Selepas kecurian itu, Rose bekerjasama dengan OpenSea untuk memastikan NFT yang dicuri tidak boleh dijual di pasarannya, tetapi ia masih boleh dijual pada platform lain.
Dompetnya dikatakan telah kehilangan 40 NFT pada hari Rabu, dengan data di pasaran NFT OpenSea yang menunjukkan aset telah dipindahkan kepada penyerang beg duit.
Rose mengesahkan penggodaman pada lewat Khamis tweet, berkata dia akan berkongsi butiran tidak lama lagi sebagai peringatan. Dia mungkin telah kehilangan aset melebihi $1.4 juta termasuk NFT daripada koleksi seperti Autoglyph, QQL Pass, Cool Cats, Damien Hirst's The Currency, Admit One dan OnChainMonkey, menurut nft sekarang.
Dalam pakej Twitter thread, Naib Presiden Kejuruteraan Proof Arran Schlosberg memecahkan apa yang sebenarnya berlaku. Dia berkata Rose ditipu untuk menandatangani tandatangan berniat jahat yang membenarkan penggodam mendapat akses kepada token bernilai tinggi.
Schlosberg tidak menyebut apa yang Rose fikir dia akan tandatangani, tetapi kesilapan langkah tunggal itu nampaknya telah memberikan kelayakan dompetnya kepada penggodam.
“Ini adalah kejuruteraan sosial klasik, memperdaya KRO menjadi rasa selamat yang palsu. Aspek teknikal penggodaman adalah terhad kepada mencipta tandatangan yang diterima oleh kontrak pasaran OpenSea,” tulis Schlosberg.
Beliau menambah bahawa aset Proof, yang kebanyakannya memerlukan berbilang kelulusan untuk akses, tidak terjejas.
OpenSea tidak membalas permintaan Blockworks untuk komen mengikut masa akhbar.
Masalah pancingan data NFT
Penyelia rantaian blok ZachXBT mendakwa bahawa penggodam yang sama yang mengawal NFT Rose mencuri 75 ETH ($121,000) daripada mangsa lain pada hari yang sama. Penggodam itu kemudiannya didakwa menggunakan pertukaran kripto FixedFloat untuk menukar dana yang dicuri kepada bitcoin, sebelum memindahkannya ke perkhidmatan pencampuran bitcoin untuk menyembunyikan asal usul dana.
Seorang lagi peminat crypto yang menggunakan nama 'foobar' di Twitter mencadangkan bagaimana penggodaman sedemikian boleh dihalang. Mereka mengesyorkan teknik yang dikenali sebagai "siloing dompet," yang melibatkan pengasingan dompet yang berbeza untuk tujuan yang berbeza, dan menjauhkan NFT berharga daripada mana-mana dompet panas yang aktif. Ini akan menyekat aset daripada disenaraikan di pasaran NFT tanpa kelulusan jualan yang berasingan — kehilangan kemudahan, tetapi pertahanan terhadap jenis perangkap yang jatuh Rose.
Penggunaan sambungan pelayar seperti Fire, yang menterjemahkan kod kontrak pintar legap kepada tindakan yang boleh dikenali, juga akan memberitahu Rose bahawa sesuatu berbau hanyir sebelum terlambat.
Cerita ini telah dikemas kini pada 26 Januari 2023, jam 5:25 pagi ET dengan butiran tambahan.
Dapatkan berita dan cerapan crypto popular hari ini dihantar ke e-mel anda setiap petang. Langgan surat berita percuma Blockworks sekarang.
Mahu alfa dihantar terus ke peti masuk anda? Dapatkan idea perdagangan degen, kemas kini tadbir urus, prestasi token, tweet yang tidak boleh dilepaskan dan banyak lagi daripada Taklimat Harian Blockworks Research.
Tak sabar? Dapatkan berita kami secepat mungkin. Sertai kami di Telegram dan mengikuti kami di berita Google.
Sumber: https://blockworks.co/news/lessons-from-proof-founder-kevin-roses-1-4m-nft-phishing-experience