การหลอกลวงการประมูลส่วนตัวแบบใหม่ของ NFT คุกคามผู้ใช้ OpenSea

เป็นโทเค็นที่ไม่สามารถเปลี่ยนแปลงได้ (NFTs) กลายเป็นที่นิยมมากขึ้นผู้ไม่หวังดีที่พยายามหาประโยชน์จากผู้ใช้ในพื้นที่อย่างต่อเนื่องนั้นมีความกระตือรือร้นมากขึ้น ขณะนี้ การแฮ็กใหม่ที่เกี่ยวข้องกับฟีเจอร์ในตลาด NFT OpenSea คุกคามผู้ถือ NFT ผ่านเว็บไซต์ฟิชชิ่ง 

ในการประกาศโครงการป้องกันการโจรกรรม Harpie เตือน ผู้ใช้ NFT ของแฮ็กใหม่ที่เกี่ยวข้องกับการขายแบบไม่ใช้แก๊สบนแพลตฟอร์ม OpenSea จากข้อมูลของ Harpie แฮ็กเกอร์สามารถขโมยสินทรัพย์ดิจิทัลนับล้านได้โดยใช้คุณสมบัตินี้

เมื่อผู้ใช้ต้องการขายแบบไร้ก๊าซภายในแพลตฟอร์ม OpenSea พวกเขาจะต้องอนุมัติคำขอลายเซ็นที่มีข้อความที่อ่านไม่ได้ ด้วยคุณสมบัตินี้ ผู้ใช้ยังสามารถสร้างการประมูลส่วนตัวด้วยลายเซ็นที่อ่านไม่ได้

แฮ็กเกอร์สามารถขโมย NFT ได้ราวกับเวทมนตร์ด้วยฟีเจอร์ OpenSea ที่ไม่ค่อยมีใครรู้จัก มันเป็นแฮ็กใหม่ล่าสุด และ Apes หลายล้านตัวก็หายไปจากมันแล้ว

(1 / 4) pic.twitter.com/fTK20WQrgh

— ฮาร์ปี (@harpieio) December 22, 2022

ด้วยเหตุนี้ เว็บไซต์ฟิชชิงจึงใช้คุณลักษณะนี้เพื่อขอให้เหยื่อลงนามในข้อความที่อ่านไม่ได้เหล่านี้ ตาม Harpie ลายเซ็นมักจะเป็นขั้นตอนที่จำเป็นในการเข้าสู่ระบบและเข้าถึงเว็บไซต์ 

อย่างไรก็ตาม ข้อความเข้าสู่ระบบเป็นคำขอลายเซ็นเพื่อทำการขาย NFT ของเหยื่อแบบส่วนตัวให้กับนักต้มตุ๋นในราคา 0 Ether (ETH). หากลงนาม ระบบจะส่ง NFT ไปยังที่อยู่กระเป๋าเงินของแฮ็กเกอร์

ที่เกี่ยวข้อง โครงการต่างๆ ค่อนข้างจะถูกแฮ็กมากกว่าการจ่ายเงินรางวัล นักพัฒนา Web3 กล่าว

นอกเหนือจากการหลอกลวงนี้ บริษัทรักษาความปลอดภัยบล็อคเชน CertiK ก็เพิ่งมีเช่นกัน ออกคำเตือนไปยังชุมชน crypto เกี่ยวกับสิ่งที่พวกเขาอธิบายว่าเป็น “ฟิชชิ่งน้ำแข็ง” ด้วยการหาช่องโหว่นี้ นักต้มตุ๋นจะหลอกผู้ใช้ Web3 ให้เซ็นสิทธิ์ที่อนุญาตให้ผู้โจมตีใช้โทเค็นของตน CertiK ตั้งข้อสังเกตว่าการหลอกลวงเป็นภัยคุกคามที่สำคัญและมีลักษณะเฉพาะในโลกของ Web3

ย้อนกลับไปเมื่อวันที่ 17 ธ.ค. นักวิเคราะห์ได้กล่าวถึงวิธีการที่สแกมเมอร์ ใช้คุณสมบัติลายเซ็นท่าเรือปลอดก๊าซ ถูกกล่าวหาว่าขโมย Bored Ape NFT 14 ตัว หลังจากทำวิศวกรรมสังคมอย่างละเอียดแล้ว แฮ็กเกอร์ก็ชี้นำเหยื่อไปยังแพลตฟอร์ม NFT ปลอมก่อนที่จะขอให้เจ้าของสัญญาเซ็นสัญญา ตามด้วยกระเป๋าเงินของเหยื่อที่ถูกระบาย