Moonbirds Creator, Wallet Exploit'ten Sonra NFT'lerde 1 Milyon Dolar Kaybetti

Moonbirds NFT koleksiyonunun yaratıcısı Kevin Rose, bir cüzdan istismarının kurbanı olduktan sonra NFT'lerde yaklaşık 1 milyon dolar kaybetti. 

Rose, 25 Chronie Squiggles ve bir Autoglyph NFT dahil olmak üzere çok sayıda NFT'yi kaybetti. Hack, Rose'un kendisi tarafından Twitter hesabında doğrulandı. 

Milyon Dolarlık Kayıp 

Moonbirds NFT koleksiyonunun kurucu ortağı Kevin Rose, kişisel koleksiyonundan 1.1 milyon dolar değerindeki NFT'leri kaybederek bir kimlik avı dolandırıcılığının kurbanı oldu. Rose, hacklemeyi Twitter hesabından doğruladı ve OpenSea'de Rose'un cüzdanının işlem geçmişine bir bakış, hacklemenin boyutunu ortaya koyuyor. Rose, OnChainMonkeys, Squiggles ve Cool Cats gibi birkaç NFT'yi kaybetti. Gül Twitter'da şunları söyledi: 

“Az önce saldırıya uğradım; Ayrıntılar için bizi takip etmeye devam edin – lütfen işaretlenene kadar (sadece 25 tanesini kaybettik) ve birkaç NFT'yi (otoglif) alana kadar herhangi bir dalgalı çizgi satın almaktan kaçının.

Ancak Rose, en değerli NFT'lerini ayrı bir kasada saklayarak saklamayı başardı. Bu NFT'ler arasında yalnızca 5066 NFT'nin bulunduğu bir Zombie CryptoPunk (CryptoPunk #87) bulunur. Kullanıcılar, Rose'un kötü niyetli bir liman paketi imzalaması nedeniyle söz konusu cüzdanın ele geçirildiğini öne sürdü. Bir liman paketi, kullanıcıların birden fazla varlığı aynı değerdeki diğer öğelerle takas etmelerine olanak tanır. Rose, ekibinin çalıntı olarak işaretlenmesi üzerinde çalışırken kullanıcıları Squiggle NFT'leri satın almaktan kaçınmaya çağırdı. 

Hack Detayları 

Saldırının nasıl gerçekleştiğine dair ayrıntılar kısa sürede ortaya çıktı. Saldırının büyük olasılıkla kötü niyetli bir imzayı onayladıktan sonra gerçekleştiği ve saldırganın Rose'un NFT'lerinin önemli bir kısmını cüzdanından dışarı aktarmasına olanak sağladığı ortaya çıktı. Saldırının analizi, saldırganın taban fiyatı 345 ETH olan en az bir Autoglyph'i, yaklaşık 332.5 ETH değerindeki Chromie Squiggles'ı ve yaklaşık 7.2 ETH değerindeki dokuz OnChainMonkey öğesini ele geçirmeyi başardığını ortaya çıkardı. 

Başkan yardımcısı PROOFMoonbirds koleksiyonunun arkasındaki varlık Arran Schlosberg, Twitter'da hack hakkında ayrıntılı bilgi vererek Rose'un, kendisini kötü niyetli bir imza imzalaması için kandıran ve saldırganın söz konusu NFT'leri çalmasına olanak sağlayan bir kimlik avı saldırısının kurbanı olduğunu açıkladı. 

“Bu akşamın erken saatlerinde @kevinrose, bilgisayar korsanının çok sayıda yüksek değerli tokeni transfer etmesine olanak tanıyan kötü niyetli bir imza imzalamak üzere kimlik avına maruz kaldı. Burada olup bitenlerin, acil müdahalemizin ve devam eden çabalarımızın bir dökümü yer alıyor. Bu, KRO'yu sahte bir güvenlik duygusuna sürükleyen klasik bir sosyal mühendislik örneğiydi. Saldırının teknik yönü, OpenSea'nin pazar sözleşmesi tarafından kabul edilen imzaların işlenmesiyle sınırlıydı."

Kripto analisti Foobar, Rose'un her işlem imzaladığında tüm NFT'lerini taşımak için bir OpenSea pazar yeri sözleşmesini onayladığını açıkladı ve Rose'un her zaman felaketten bir kötü niyetli imza uzakta olduğunu belirtti. Analist, Rose'un varlıklarını ayrı bir cüzdanda saklaması gerektiğini de sözlerine ekledi. 

"NFT pazaryerlerinde listelenmeden önce varlıkları kasanızdan ayrı bir 'satış' cüzdanına taşımak bunu önleyecektir."

Kötü amaçlı imza, liman pazarı sözleşmesiyle etkinleştirildi; bu güçlü bir araç olmasına rağmen, kullanıcıların nasıl çalıştığını bilmemesi durumunda da tehlikelidir. 

Hareket Halinde Çalınan Varlıklar

Foobar ayrıca çalınan varlıkların değerinin taban fiyatının çok üzerinde olduğunu, bunun da kaybın çok daha büyük olabileceği anlamına geldiğini ortaya çıkardı. Zincir üstü kripto analisti ZachXBT çalınan varlıkları takip etti ve istismarcının varlıkları Bitcoin Lightning Network'teki bir borsa olan FixFloat'a gönderdiğini ortaya çıkardı. Fonlar daha sonra BTC'ye dönüştürüldü ve bir Bitcoin karıştırıcısına yatırıldı. 

“Üç saat önce Kevin'e 1.4 milyon dolardan fazla değerde NFT çalındı. Bugün erken saatlerde aynı dolandırıcı başka bir kurbandan 75 ETH çaldı. Bunu haritalandırdığımızda, çalınan fonları FixFloat'a gönderme ve bir bitcoin mikserine yatırmadan önce BTC ile takas etme yönünde net bir eğilim görebiliriz."

Bankless Kurucusu Ryan Sean Adams, Rose'un ne kadar kolay istismar edildiğine dikkat çekti ve ön uç mühendislerini kullanıcı deneyimini iyileştirmeye çağırdı.

Sorumluluk Reddi: Bu makale yalnızca bilgi amaçlı sağlanmıştır. Yasal, vergi, yatırım, mali veya başka bir tavsiye olarak sunulmaz veya kullanılması amaçlanmaz.