OpenSea, o piață de jetoane nefungibile, a devenit victima unui hack pe canalul său principal Discord. Încălcarea a permis actorilor amenințărilor să posteze anunțuri false despre parteneriate între OpenSea și alte proiecte.
Canalul Discord al OpenSea piratat
OpenSea a distribuit un screenshot pe 6 mai arătând știrile false despre parteneriate. Captura de ecran conținea și un link către un site web de phishing. Contul oficial de Twitter pentru suportul OpenSea a postat că serverul Discord pentru piața NFT a fost încălcat vineri dimineață. Compania a emis chiar și un avertisment utilizatorilor, îndemnându-i să nu urmeze niciunul dintre linkurile postate pe canal.
Prima postare făcută de hacker a inclus un canal de anunț care susținea că piața NFT a „partenerat cu YouTube pentru a-și aduce comunitatea în spațiul NFT”. Compania a mai spus că va publica un permis de monetărie cu OpenSea pentru a permite deținătorilor să-și bată proiectul NFT fără costuri.
Hackerul a rămas pe server mult timp înainte ca OpenSea să poată recupera contul. Cu toate acestea, hackerul se implicase deja în mai multe încercări de a-i determina pe utilizatori să reacționeze la anunț, insuflând teama de a pierde. Hackerul a postat postări ulterioare și a susținut că 70% din aprovizionare a fost bătută.
Hackerul a încercat, de asemenea, să atragă utilizatorii pe OpenSea spunând că YouTube va oferi „utilități nebunești”. Aceste utilități ar fi date celor care au solicitat NFT-urile. Ei au susținut, de asemenea, că oferta va fi unică și că nu vor fi necesare runde suplimentare pentru participare.
Valorile în lanț dezvăluie că 13 portofele au fost compromise până acum, iar cel mai valoros NFT care a fost furat a fost Founders' Pass, evaluat la 3.33 Ether, echivalentul a aproximativ 8900 USD.
Webhook-uri atribuite încălcării serverului
Primele rapoarte spuneau că intrusul a adoptat Webhooks pentru a accesa comenzile serverului. Webhook-urile sunt pluginuri de server care permit altor software-uri să primească informații în timp real. Webhook-urile câștigă o utilizare din ce în ce mai mare ca vector de atac pentru hackeri, deoarece facilitează mesageria cu conturile oficiale de server.
Webhook-urile nu au fost folosite doar pentru a ataca serverul OpenSea Discord, dar au fost folosite și pentru a ataca colecțiile populare NFT. Bored Ape Yacht Club, KaijuKIngs și Doodles au fost încălcate la începutul lunii trecute după ce au exploatat o vulnerabilitate similară care le-a permis hackerilor să folosească conturile oficiale de server pentru a publica link-uri de phishing.
Capitalul dvs. este în pericol.
Citeşte mai mult:
Sursa: https://insidebitcoins.com/news/opensea-discord-server-hacked-increasing-the-risk-of-phishing-scams