На OpenSea з’явилася нова загроза. Хакери виманюють NFT під виглядом приватних аукціонів

• Аналітики з Harpie розповіли про новий прийом хакерів
• Ті використовують нечитабельний запит на підпис для виманювання токенів на OpenSea
• Вкрадено вже кілька мільйонів NFT

Учора, 22 грудня, експерти «першого он-чейн файрволу» Harpie випустили попередження для користувачів маркетплейса OpenSea. На майданчику почастішали випадки, коли хакери виманюють NFT під виглядом приватних аукціонів.

За даними Harpie, таким чином зловмисники виманили «мільйони» токенів. Точна сума збитків невідома, але вона обчислюється десятками мільйонів доларів.

При цьому суть махінації проста. Злочинці вибудували свою схему навколо функції безгазового продажу, яка є в смарт-контракті маркетплейса.

Щоб провести її, користувач має затвердити запит. Ось тільки з нього нічого не зрозуміло через нечитабельний текст. Ось приклад:

На перший погляд здається, що це невинна авторизація. Але це не так. Натискаючи «Sign», користувач підтверджує передачу NFT зловмиснику за 0 ETH.

Це можливо, оскільки функція доступна для приватних аукціонів, організатори яких можуть задати будь-яку ціну на токен. Таким чином злочинці «викачали» мільйони NFT. Уникнути подібного виверту досить просто — потрібно дуже уважно ставитися до кожного запиту на підпис. Тим більше, що випадки фішингу почастішали. Про ще одну популярну схему ми розповідали нещодавно.