Kevin Rose, đồng sáng lập bộ sưu tập NFT Moonbirds, vừa trở thành nạn nhân của một vụ phishing scam, bị đánh cắp hơn 1,1 triệu đô la NFT cá nhân.
Kevin Rose – Đồng sáng lập bộ sưu tập NFT Moonbirds
Cha đẻ dự án NFT và đồng sáng lập PROOF đã chia sẻ tin tức này với 1,6 triệu người theo dõi trên Twitter của anh vào ngày 25/1, yêu cầu tránh mua bất kỳ Squiggles NFT nào cho đến khi họ có thể đánh dấu những tài sản bị đánh cắp.
“Cảm ơn vì tất cả những lời động viên tốt bụng. Sẽ có cuộc phỏng vấn đầy đủ sắp tới”, anh ấy chia sẻ trong một tweet riêng khoảng hai giờ sau đó.
Theo tweet chính thức, NFT của Rose đã bị rút sau khi ký một chữ ký độc hại chuyển phần đáng kể tài sản của anh cho kẻ tấn công khai thác.
Một phân tích độc lập từ Arkham cho thấy kẻ tấn công khai thác đã trích xuất ít nhất 1 Autoglyph (345 ETH), 25 Art Blocks (còn được gọi là Chromie Squiggle — 332,5 ETH) và 9 OnChainMonkey (7,2 ETH).
Tổng cộng, ít nhất 684,7 ETH (1,1 triệu đô la) đã bị rút.
Kevin Rose đã bị tấn công khai thác như thế nào?
Trong khi một số phân tích độc lập on-chain đã được chia sẻ, Phó chủ tịch của PROOF – công ty đứng sau Moonbirds – Arran Schlosberg ghi nhận Rose “bị lừa ký một chữ ký độc hại” cho phép hacker chuyển số lượng lớn token.
Nhà phân tích “foobar” đã giải thích thêm về “khía cạnh kỹ thuật của vụ hack” trong một bài đăng riêng vào ngày 25/1, rằng Rose đã phê duyệt hợp đồng trên thị trường OpenSea để di chuyển tất cả NFT của anh bất cứ khi nào Rose ký giao dịch. Theo anh, ranh giới giữa việc Rose bị tấn công khai khác chỉ cách “một chữ ký độc hại”.
Nguồn: foobar
Nhà phân tích cho biết thay vào đó, Rose nên “giữ” NFT của mình vào một ví riêng:
“Chuyển tài sản từ kho tiền của bạn sang một ví “bán” riêng biệt trước khi niêm yết trên các thị trường NFT sẽ ngăn chặn điều này”.
Theo nhà phân tích on-chain “Quit”, chữ ký độc hại đã được kích hoạt bởi hợp đồng trên thị trường Seaport — nền tảng cung cấp năng lượng cho OpenSea. Quit giải thích rằng những kẻ tấn công khai thác đã thiết lập một trang phishing có thể xem các tài sản NFT được giữ trong ví của Rose.
Sau đó, hacker thiết lập một lệnh cho tất cả tài sản của Rose đã được phê duyệt trên OpenSea để chuyển cho chúng.
Tiếp theo, Rose đã xác thực giao dịch độc hại, Quit lưu ý.
Trong khi đó, foobar lưu ý hầu hết các tài sản bị đánh cắp đều cao hơn nhiều so với giá sàn, có nghĩa là số tiền bị đánh cắp có thể lên tới 2 triệu đô la.
Quit thúc giục người dùng OpenSea “cần phải chạy trốn” khỏi bất kỳ trang web nào khác nhắc người dùng ký vào thứ gì đó có vẻ đáng ngờ.
Các NFT đang di chuyển
Nhà phân tích on-chain “ZachXBT” đã chia sẻ bản đồ giao dịch, cho thấy kẻ tấn công khai thác đã gửi tài sản đến FixedFloat — một sàn giao dịch trên layer 2 Bitcoin “Lightning Network”.
Nguồn: ZachXBT
Sau đó, hacker đã chuyển tài sản thành Bitcoin trước khi gửi vào máy trộn Bitcoin:
Thành viên Crypto Twitter Degentraland chia sẻ đó là “điều đáng buồn nhất” mà họ từng thấy trong không gian tiền điện tử cho đến nay, đồng thời nói thêm nếu ai đó có thể quay trở lại sau một vụ tấn công khai thác tàn khốc như vậy, thì “chính là anh ấy”:
Nguồn: Degentraland
Trong khi đó, nhà sáng lập Bankless Ryan Sean Adams đã rất tức giận với việc Rose bị lợi dụng một cách dễ dàng. Trong tweet ngày 25/1, Adams kêu gọi các kỹ sư front-end tiếp tục cải tiến game của họ và cải thiện trải nghiệm người dùng (UX) để ngăn chặn những trò gian lận như vậy diễn ra.
Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn
Theo dõi Twitter: https://twitter.com/tapchibtc_io
Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin
- Lido tiết lộ kế hoạch rút ETH đã stake hậu Ethereum Shanghai
- Dự án Bluechip NFT Moonbirds ký hợp đồng với đại lý tài năng Hollywood UTA
- NFT khởi đầu năm 2023 mạnh mẽ với doanh số bán hàng tăng 25%
Minh Anh
Theo Cointelegraph