На OpenSea появилась новая угроза. Хакеры выманивают NFT под видом частных аукционов

• Аналитики из Harpie рассказали о новой уловке хакеров
• Те используют нечитаемый запрос на подпись для выманивания токенов на OpenSea
• Украдено уже несколько миллионов NFT

Вчера, 22 декабря, эксперты «первого он-чейн файрволла» Harpie выпустили предупреждение для пользователей маркетплейса OpenSea. На площадке участились случаи, когда хакеры выманивают NFT под видом частных аукционов. 

По данным Harpie, таким образом злоумышленники выманили «миллионы» токенов. Точная сумма ущерба неизвестна, но она исчисляется десятками миллионов долларов. 

При этом суть махинации проста. Преступники выстроили свою схему вокруг функции безгазовой продажи, которая есть в смарт-контракте маркетплейса. 

Чтобы провести ее, пользователь должен утвердить запрос. Вот только из него ничего не ясно из-за нечитаемого текста. Вот пример:

На первый взгляд кажется, что это безобидная авторизация. Но это не так. Нажимая «Sign», пользователь подтверждает передачу NFT злоумышленнику за 0 ETH. 

Это возможно, поскольку функция доступна для частных аукционов, организаторы которых могут задать любую цену на токен. Таким образом преступники «выкачали» миллионы NFT. Избежать подобной уловки довольно просто — нужно очень внимательно относиться к каждому запросу на подпись. Тем более, что случаи фишинга участились. Об еще одной популярной схеме мы рассказывали недавно.