圈小蛙

OpenSea的官方Discord频道遭受网络钓鱼攻击,黑客窃取了至少价值18,000美元的NFT

美国东部时间5月6日凌晨4点30分左右,全球最大的NFT市场OpenSea的官方Discord频道加入了越来越多的NFT列表,使参与者受到网络钓鱼攻击。

在这种情况下,一个机器人发布了关于OpenSea与YouTube合作的假消息,诱使用户点击“YouTube Genesis Mint Pass”链接,以在100个具有“疯狂实用程序”的免费NFT永远消失之前抢购其中一个,并有一些后续消息。区块链安全跟踪公司PeckShield将攻击者链接的URL“youtubenft[.]art”标记为网络钓鱼站点,该站点现在已不可访问。

虽然消息和网络钓鱼站点已经消失,但有一个人说他们在这次事件中失去了NFT,他指出区块链上的这个地址属于攻击者,所以我们可以看到更多关于接下来发生的信息。虽然该身份已在OpenSea的网站上被阻止,但通过Etherscan.io或一个竞争的NFT市场Rarible查看,显示在攻击发生前后,有13个NFT从五个来源转移到它那里。现在,他们还在OpenSea上报告了“可疑活动”,根据他们最后一次出售时的价格,它们的价值似乎略高于18,000美元。

这种骗子利用希望利用“空投”的NFT交易者的中间人攻击,已成为著名的Web3组织的常见做法。公告突然出现是很正常的,而区块链的性质可能会让一些用户有理由先点击,然后再考虑后果。

除了抢夺稀有物品的愿望之外,还有一个知识点是,等待会使你在抢购中铸造NFT的速度更慢,成本更高,甚至不可能(如果你在过程中耗尽了资金)。如果他们在连接到互联网的热钱包中留下了任何物品或加密货币,那么向网络钓鱼者提供登录详细信息可能会在几秒钟内将它们泄露出去。

OpenSea发言人Allie Mack在一份声明中证实了这一事件,并说:“昨晚,攻击者能够在我们的多个Discord频道中发布恶意链接。我们在发布后不久就注意到了这些恶意链接,并立即采取补救措施纠正这种情况,包括删除恶意机器人和帐户。我们还通过我们的Twitter支持渠道提醒我们的社区不要点击我们Discord中的任何链接。自美国东部时间凌晨4:30以来,我们没有看到任何新的恶意帖子。”

“我们将继续积极调查这次袭击,并将随时向我们的社区通报任何相关的新信息。我们的初步分析表明,这次攻击的影响有限。我们目前知道不到10个受影响的钱包和被盗物品,金额不到10个ETH。”Mack说。

OpenSea没有就频道是如何被黑的发表声明,但这种攻击方式的一个切入点是该公司经常用来控制其频道中的机器人发布帖子的webhook功能。如果黑客获得访问权限或破坏了授权人的帐户,那么他们可以使用它来发送似乎来自官方来源的消息或URL。

最近的攻击包括从“Rare Bears”的Discord频道窃取价值80万美元的区块链饰品,Bored Ape Yacht Club宣布其官方频道已于4月1日遭到入侵。4月25日,BAYC的Instagram充当了类似钓鱼的渠道,黑客仅通过发送的网络钓鱼链接就获得了价值超过100万美元的NFT。

Exit mobile version