- A função de “vendas sem gás” do OpenSea serviu como uma arma crucial para os hackers NFT.
- As vítimas são obrigadas a assinar um contrato inofensivo, semelhante a uma assinatura de login.
O maior Mercado NFT OpenSea os usuários correram riscos devido a um novo hack envolvendo um recurso no OpenSea por meio de sites de phishing. À medida que os tokens não fungíveis (NFTs) aumentaram em popularidade, os golpistas que frequentemente tentam tirar vantagem dos usuários no mercado de NFT aumentaram em atividade.
O OpenSea possui um recurso chamado “vendas sem gás”, que permite aos usuários vender NFTs por meio de contratos, assinando mensagens ilegíveis. Em 23 de dezembro, Harpia, o primeiro firewall on-chain para evitar hacks. Alertou os usuários do NFT por meio de um tweet sobre o novo ataque envolvendo vendas sem gás.
Como o site de phishing atraiu usuários?
Os usuários devem aprovar uma solicitação de assinatura com uma mensagem ilegível para fazer vendas sem gás na plataforma OpenSea. Além disso, os usuários podem permitir leilões privados com assinaturas ilegíveis usando esse recurso. No entanto, para entrar em um site de phishing, as vítimas precisam assinar um contrato inofensivo semelhante a uma “assinatura de login”.
De acordo com anoucimento, esta assinatura de login é uma oferta para vender o NFT dos usuários de forma privada por 0 ETH para o endereço do hacker. Assim que os usuários do NFT o assinassem, os NFTs seriam transferidos para o endereço da carteira do hacker.
Harpie afirmou que as assinaturas são frequentemente apresentadas como uma etapa necessária para fazer login e acessar o site. Harpie afirma que, aproveitando os recursos do OpenSea, os hackers conseguiram roubar milhões de ativos digitais. Mais tarde, o especialista descobriu a diferença entre as solicitações e os usuários dos golpistas.
No entanto, Harpie também apontou como um fraudador supostamente roubou 14 NFTs Bored Ape usando o recurso de assinatura sem gás em 17 de dezembro. O hacker realizou extensa engenharia social para levar a vítima a um site NFT falso. E fazer com que o titular assine o contrato. Depois disso, a carteira da vítima foi roubada em vários bilhões.
Fonte: https://thenewscrypto.com/opensea-private-auction-alarmed-by-nft-scammers/