Các trang web lừa đảo đang làm cho tính năng đấu giá kín giống như một cách để đăng nhập, dụ nạn nhân vô tình từ bỏ NFT của họ.
Khi Token không thể thay thế (NFT) trở nên phổ biến hơn, những kẻ xấu liên tục cố gắng khai thác người dùng trong không gian đã trở nên tích cực hơn. Giờ đây, một vụ hack mới liên quan đến một tính năng trên thị trường NFT OpenSea đe dọa những người giữ NFT thông qua các trang web lừa đảo.
Trong một thông báo, dự án chống trộm cắp Harpie đã cảnh báo người dùng NFT về một vụ hack mới liên quan đến hoạt động bán hàng không tốn xăng trên nền tảng OpenSea. Theo Harpie, tin tặc đã có thể đánh cắp hàng triệu tài sản kỹ thuật số bằng cách khai thác tính năng này.
Khi người dùng muốn tiến hành bán hàng không tốn xăng trong nền tảng OpenSea, họ phải phê duyệt yêu cầu chữ ký với thông báo không thể đọc được. Với tính năng này, người dùng cũng có thể được phép tạo đấu giá kín với chữ ký không thể đọc được.
Hackers have been able to steal NFTs like magic with a little-known OpenSea feature. It's the newest hack, and multiple millions in Apes have been lost to it already.
— Harpie (@harpieio) December 22, 2022
(1/4) pic.twitter.com/fTK20WQrgh
Vì điều này, các trang web lừa đảo đã sử dụng tính năng này để yêu cầu nạn nhân của họ ký vào một trong những thông báo không thể đọc được này. Theo Harpie, chữ ký thường là một bước cần thiết để đăng nhập và truy cập trang web.
Tuy nhiên, thông báo đăng nhập thực sự là yêu cầu chữ ký để tiến hành bán riêng NFT của nạn nhân cho kẻ lừa đảo với giá 0 Ether (ETH). Nếu được ký, nó sẽ gửi NFT đến địa chỉ ví của tin tặc.
Ngoài trò lừa đảo này, công ty bảo mật blockchain CertiK gần đây cũng đã đưa ra cảnh báo cho cộng đồng tiền điện tử về những gì họ mô tả là "lừa đảo băng". Thông qua khai thác này, những kẻ lừa đảo lừa người dùng Web3 ký các quyền cho phép những kẻ tấn công sử dụng Token của họ. CertiK lưu ý rằng lừa đảo là một mối đe dọa đáng kể và là duy nhất đối với thế giới Web3.
Trở lại vào ngày 17 tháng 12, một nhà phân tích đã trình bày cách một kẻ lừa đảo đã sử dụng tính năng chữ ký Seaport tiết kiệm xăng để đánh cắp 14 NFT Bored Ape. Sau khi thực hiện kỹ thuật xã hội kỹ lưỡng, tin tặc đã hướng nạn nhân đến một nền tảng NFT giả mạo trước khi yêu cầu người giữ ký hợp đồng. Tiếp theo đó là ví nạn nhân bị rút cạn.
Theo CoinTelegraph
|