כאסימונים שאינם ניתנים לשינוי (NFT) הפך פופולרי יותר, שחקנים רעים שמנסים כל הזמן לנצל משתמשים בתוך המרחב הפכו פעילים יותר. כעת, פריצה חדשה הכוללת תכונה בשוק NFT OpenSea מאיימת על מחזיקי NFT דרך אתרי דיוג.
בהכרזה, פרויקט נגד גניבות Harpie מוזהר משתמשי NFT של פריצה חדשה הכוללת מכירות ללא גז בפלטפורמת OpenSea. לדברי הארפי, האקרים הצליחו לגנוב מיליונים בנכסים דיגיטליים על ידי ניצול התכונה.
כאשר משתמשים רוצים לבצע מכירות ללא גז בתוך פלטפורמת OpenSea, הם נדרשים לאשר בקשת חתימה עם הודעה בלתי ניתנת לקריאה. עם תכונה זו, משתמשים יכולים גם לאפשר ליצור מכירות פומביות פרטיות עם חתימות בלתי קריאות.
האקרים הצליחו לגנוב NFTs כמו קסם עם תכונת OpenSea מעט ידועה. זו הפריצה החדשה ביותר, וכבר אבדו לה מיליונים מרובים בקופים.
(1 / 4) pic.twitter.com/fTK20WQrgh
- Harpie (@harpieio) דצמבר 22, 2022
בשל כך, אתרי פישינג השתמשו בתכונה זו כדי לבקש מהקורבנות שלהם לחתום על אחת מההודעות הבלתי קריאות הללו. לדברי הארפי, החתימות לעתים קרובות מצטיירות כצעד הנדרש לכניסה וגישה לאתר.
עם זאת, הודעות ההתחברות הן למעשה בקשות חתימה לביצוע מכירה פרטית של ה-NFTs של הקורבן לרמאי עבור 0 Ether (ETH). אם הוא חתום, הוא ישלח את ה-NFTs לכתובת הארנק של ההאקר.
מידע נוסף: פרויקטים מעדיפים להיפרץ מאשר לשלם פרסים, טוען מפתח Web3
מלבד הונאה זו, חברת אבטחת הבלוקצ'יין CertiK עשתה גם לאחרונה הוציא אזהרה לקהילת הקריפטו על מה שהם מתארים כ"דיוג בקרח". באמצעות ניצול זה, הרמאים מרמים את משתמשי Web3 לחתום על הרשאות המאפשרות לתוקפים להוציא את האסימונים שלהם. CertiK ציינה כי ההונאה מהווה איום משמעותי והיא ייחודית לעולם ה-Web3.
עוד ב-17 בדצמבר, אנליסט העלה איך רמאי השתמש בתכונת החתימה של נמל הים ללא גז לגנוב לכאורה 14 NFTs משועממים של Ape. לאחר ביצוע הנדסה חברתית יסודית, ההאקר הפנה את הקורבן לפלטפורמת NFT מזויפת לפני שביקש מהמחזיק לחתום על חוזה. לאחר מכן התרוקן ארנקו של הקורבן.
