- הפונקציה "מכירות ללא גז" של OpenSea שימשה נשק מכריע עבור האקרים NFT.
- הקורבנות נדרשים לחתום על חוזה לא מזיק, בדומה לחתימת כניסה.
הגדול ביותר שוק NFT OpenSea משתמשים עברו סיכון עקב פריצה חדשה הכוללת תכונה ב-OpenSea דרך אתרי דיוג. ככל שהפופולריות של אסימונים לא ניתנים (NFT) גדלה, הרמאים שמנסים לעתים קרובות לנצל את המשתמשים בשוק ה-NFT גדלו בפעילותם.
ל-OpenSea יש תכונה הנקראת "מכירות ללא גז", המאפשרת למשתמשים למכור NFTs באמצעות חוזים על ידי חתימה על הודעות בלתי קריאות. ב-23 בדצמבר, הארפי, חומת האש הראשונה ברשת למניעת פריצות. התריע למשתמשי NFT באמצעות ציוץ על המתקפה החדשה שכללה מכירות ללא גז.
כיצד אתר הדיוג משך משתמשים?
על המשתמשים לאשר בקשת חתימה עם הודעה בלתי ניתנת לקריאה מכירות ללא גז בפלטפורמת OpenSea. כמו כן, משתמשים יכולים לאפשר מכירות פומביות פרטיות עם חתימות בלתי קריאות באמצעות תכונה זו. עם זאת, כדי להיכנס לאתר פישינג, הקורבנות נדרשים לחתום על חוזה לא מזיק הדומה ל"חתימת התחברות".
על פי annouמלט, חתימת הכניסה הזו היא הצעה למכור NFT של משתמשים באופן פרטי תמורת 0 ETH לכתובת ההאקר. ברגע שמשתמשי ה-NFT חתמו עליו, ה-NFTs יועברו לכתובת הארנק של ההאקר.
הרפי הצהיר כי החתימות מוצגות לעתים קרובות כצעד הדרוש לכניסה וגישה לאתר. הארפי טוען שבאמצעות ניצול התכונה של OpenSea הצליחו האקרים לגנוב מיליוני נכסים דיגיטליים. מאוחר יותר מצא המומחה את ההבדל בין בקשות הרמאים למשתמשים.
עם זאת, הארפי גם הצביע על כך שרמאי גנב לכאורה 14 מכשירי NFT משועממים של Ape באמצעות תכונת החתימה ללא גז ב-17 בדצמבר. ההאקר ביצע הנדסה חברתית מקיפה כדי להוביל את הקורבן לאתר NFT מזויף. ושחתום על חוזה המחזיק. לאחר מכן, ארנקו של הקורבן נגנב במיליארדים.
מקור: https://thenewscrypto.com/opensea-private-auction-alarmed-by-nft-scammers/