Чему научил взлом онлайн-площадки OpenSea

Хакерский взлом крупнейшей торговой онлайн-площадки OpenSea стал поводом, чтобы вспомнить о необходимости соблюдений правил безопасности в Web3.

В конце прошлой недели был совершен взлом крупной торговой площадки OpenSea. Хакер с помощью мошеннической схемы смог украсть множество NFT, принадлежащих пользователям площадки. Общая сумма хищения составляет несколько миллионов долларов. Злоумышленник обманом заставлял пользователей одобрять транзакции, после чего получал доступ к их кошелькам и похищал токены. 

Выводом стал факт необходимости пересмотра системы безопасности платформы и обязательное выполнение всех действий, связанных с безопасностью в Web3. 

OpenSea выявил недостатки в своей системе безопасности

Первые сообщения о пропаже NFT с кошельков пользователей поступили 19 февраля. Несколько пользователей обнаружили у себя недостаток ценных токенов. В том числе экземпляров из коллекций Bored Ape Yacht Club и Azuki. Общая стоимость похищенных невзаимозаменяемых токенов составляет примерно $3 млн. 

20 февраля OpenSea дали комментарии по произошедшей ситуации и пояснили, что основная причина взлома — фишинговая атака, возникшая вне онлайн-платформы.

Всего в ходе мошеннических действий пострадало 32 пользователя. Схема была довольно простой: пользователь переходил по вредоносной ссылке, которая подписывала смарт-контракт, разрешающий переводить NFT пользователя на другой кошелек. За несколько часов мошенник смог вывести на свой адрес более 250 токенов.

На платформе OpenSea существует практика использования автономных подписей. Некоторые безгазовые сделки могут совершаться автоматически, даже если пользователь не находится сейчас в сети. Этим и воспользовался хакер. Жертвы подписали все транзакции с помощью протокола обмена NFT-токенами Wyvern, который активно используется OpenSea.

Как рассказывали в своих публикациях в Twitter обманутые пользователи, они все подписали вредоносный код, позволяющий злоумышленникам переводить NFT на целевой адрес. Сообщается, что мошенники связывались с жертвами под видом OpenSea.

Данная ситуация дает понять, что Web3 полон рисков и подписание транзакций смарт-контрактов требуют особого внимания. 

Важно помнить несколько основных моментов, которые помогут пользователям защитить свои кошельки:

  1. Первый важный момент — возможность отозвать решения, связанные с криптокошельком. Пользователи, торгующие на OpenSea и дающие разрешение на офчейн-подпись с контрактом Wyvern Exchange V1 должны знать способы отозвать разрешения на трату средств из своего кошелька. 
  2. Старайтесь исключить слепые подписи. В ситуации со взломом OpenSea стало ясно, что действительные подписи жертв были использованы в контракте Wyvern V1. Мошеннические контракты могли быть подписаны непреднамеренно. Крайне важно, чтобы пользователи проявляли осторожность при выполнении безгазовых подписей в OpenSea или других приложениях. Некоторые эксперты по блокчейну рекомендуют не одобрять все слепые подписи. 
  3. Будьте осторожны с привязкой электронной почты и Web3. Некоторые, пострадавшие от мошенников пользователи, рассказывали, что получили электронное письмо от имени OpenSea, в котором содержалась некая ссылка. После перехода по этой ссылке выяснилось, что пользователи подписали транзакции на манипуляции со своим криптокошельком.

Также довольно действенным способом, чтобы защитить свои активы и предотвратить фишинговые атаки является перевод ценных активов на холодные кошельки. Они не связаны ни с какими приложениями и позволяют избежать любые нападки хакеров.

Держим Вас в курсе событий! Подписывайтесь на Фридман клаб в соцсетях и наш Телеграм канал, чтобы всегда быть в курсе самых последних и горячих новостей @like_freedman

Автор: Екатерина, аналитик Freedman Сlub Crypto News

0 0 голоса
Рейтинг статьи

Anton Zaitsev

Аналитик Freedman Club Crypto News

Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x