ข่าว

แจ้งเตือน! มีข่าวลือพบช่องโหว่ในสัญญาใหม่ของ Opensea นำไปสู่การขโมย NFT จำนวนมาก

กุมภาพันธ์ 20, 2022

เจ้าของ NFT ราคาแพงกำลังถูกผู้โจมตีที่ไม่รู้จัก ทำการดึงทรัพย์สินที่ list อยู่ใน Opensea ออกไป โดยตอนนี้ยังไม่ทราบแน่ชัดว่าปัญหาเกิดจาก สัญญา Opensea ใหม่ถูกแฮ็กหรือเป็นการโจมตีโดยฟิชชิ่ง

We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea's website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022

ทาง Opensea กล่าวว่า “เรากำลังตรวจสอบข่าวลือเกี่ยวกับการโจมตีที่เกี่ยวข้องกับ smart contracts ของ OpenSea โดยดูเหมือนว่าจะเป็นการโจมตีแบบฟิชชิ่งที่เกิดขึ้นนอกเว็บไซต์ของ OpenSea ดังนั้นโปรดอย่าคลิกลิงก์ภายนอกใด ๆ ที่ไม่ใช่จาก http://opensea.io

ในขณะที่เขียนนี้ ยังไม่ชัดเจนว่ามีสินทรัพย์ถูกขโมยผ่านช่องโหว่ที่เกิดจากความบกพร่องในแพลตฟอร์มของ OpenSea หรือเกิดจากการโจมตีแบบฟิชชิ่ง ซึ่งเป็นวิธีทั่วไปสำหรับการเข้าถึงบัญชีผ่านอีเมลปลอม

แต่ ณ จุดนี้ เราสามารถยืนยันได้ว่าแฮ็กเกอร์มีทรัพย์สินประมาณ 3 ล้านดอลล่าร์ ซึ่งรวมถึง NFT ยอดนิยมเช่น Bored Apes, Azuki และ CloneX

🚨 NFT EXPLOIT 🚨

The hacker is using a helper contract deployed 30 days ago, to call an OS contract deployed 4 years ago, with valid atomicMatch() data.

Likely a signature phishing attack from several weeks back, the attacker is exploiting now before all listings expire. pic.twitter.com/pKEjoIR534
— foobar (@0xfoobar) February 20, 2022

สิ่งที่ควรทำคือ Revoke (https://revoke.cash/) การอนุมัติทั้งหมดจาก OpenSea หากเคยมีปฏิสัมพันธ์ในช่วงไม่กี่เดือนที่ผ่านมา

ทางด้าน Alex Svanevik ซีอีโอของ Nasen ประเมินว่ามีผู้ใช้ OpenSea ประมาณ 19 รายที่ได้รับผลกระทบ ขณะที่มี 680+ ETH ที่ถูกขโมยไป ยังไม่รวม NFT ทั้ง Bored Apes, Mutant Apes, Azukis, mfers, FVCK_CRYSTALS, Doodles และอื่น ๆ (https://etherscan.io/address/0x3e0defb880cd8e163bad68abe66437f99a7a8a74#tokentxnsErc721)

ตัวอย่างหน้าตาอีเมลฟิชชิ่ง

ฟิชชิ่งหรือบั๊กใน smart contracts ?

ที่น่าสนใจคือ contracts ถูกสร้างขึ้นเมื่อ 28 วันก่อน และเมื่อประมาณ 5 ชั่วโมงที่แล้ว มีการทำธุรกรรมครั้งแรกเกิดขึ้นเพื่อเริ่มต้นการขโมยสินทรัพย์จากกระเป๋าจำนวนมาก

Looks like this current attack on #NFTs has been a month in the making.https://t.co/1bORoRcOFt

28 days ago this contract was launched and 5 hrs ago the first transaction came through to begin mass draining wallets.

Opensea migration contract has only been live for a few days pic.twitter.com/crW5VXraLG
— Satoshi Wolf (@SatoshiWolf) February 20, 2022

ผู้ใช้รายอื่นอธิบายว่า เค้าไม่เคยมีการโต้ตอบกับอีเมลแบบฟิชชิ่งจาก Opensea เลย

Information dump about my lost BAYC
>Hacker returned some items and eth to many
>I'm too lazy to check my email (no phishing)
>The only thing i've listed on opensea recently is BAYC
>I listed 2 things on X2Y2 but neither were BAYC
>I'm the newest member of the hacked BAYC Club.
— Nate Rivers (@Nate_Rivers) February 20, 2022

How can u send this email if ur @opensea and not expect it to be replicated and phished … absurd pic.twitter.com/qVo6G1H5Su
— Keyboard Monkey (@KeyboardMonkey3) February 20, 2022

อ้างอิง : LINK

Radius

ผู้เชี่ยวชาญการเขียนข่าว บทความ ที่เกี่ยวข้องกับ Bitcoin , คริปโตเคอเรนซี่ และ Blockchain ทั้งในไทยและต่างประเทศ อัพเดทราคา มุมมองการลงทุน ใหม่ล่าสุดทุกวัน

แจ้งเตือน! มีข่าวลือพบช่องโหว่ในสัญญาใหม่ของ Opensea นำไปสู่การขโมย NFT จำนวนมาก

ตัวอย่างหน้าตาอีเมลฟิชชิ่ง

ฟิชชิ่งหรือบั๊กใน smart contracts ?

Radius

FOLLOW ME

Blockchain Life 2024

Crypto Coffee

Cryptomind Research Talk

CryptOmakase