Dünyanın en büyük NFT pazarı olan OpenSea platformunun resmi Discord kanalı Cuma günü, bir kimlik avı saldırında hacklendi. Kanaldan bir bot, OpenSea'nın YouTube ile ortak olduğu hakkında sahte bir duyuru yaptı ve kullanıcıları "YouTube Genesis Mint Pass" bağlantısını tıklayarak 100 ücretsiz NFT'den birini almaya ikna etti. Oltalama tekniğiyle yapılan saldırıda en az 18 bin dolar değerinde NFT tehlikeye girdi. Blockchain güvenlik izleme şirketi PeckShield, saldırganların bağlantı verdiği URL'yi "youtubenft[.]art" olarak etiketledi ve şu anda kullanılamıyor.
Mesajlar ve site zaten gitmişken, olayda NFT'leri kaybettiğini söyleyen bir kişi blok zincirindeki bu adresin saldırgana ait olduğunu işaret etti. Böylece daha sonra konu hakkında daha fazla bilgi sahibi olabiliriz. Bu kimlik OpenSea'nin sitesinde engellenmiş olsa da, Etherscan.io veya rakip bir NFT pazarı olan Rarible aracılığıyla görüntülendiğinde, saldırı sırasında beş kaynaktan 13 NFT'nin kendisine aktarıldığını gösteriyor. Artık OpenSea'de şüpheli etkinlik nedeniyle rapor edildi ve son satıldığındaki fiyatlarına göre 18 bin doların biraz üzerinde bir değere sahip görüldü.
İlginizi Çekebilir: Bored Ape Yacht Club NFT’leri Çalındı!
OpenSea Oltalama Yöntemi Kullanılarak Hacklendi
Dolandırıcıların airdroplardan yararlanmak isteyen NFT tüccarlarını sömürdüğü bu tür aracı saldırılar, önde gelen Web3 organizasyonları için yaygın hale geldi. Duyuruların birden bire ortaya çıkması ve kullanıcıların hiç düşünmeden kazanmak için tıklaması bir oltalama tekniği olarak kullanılmakta. Burada tıklayan kişiler internete bağlı cüzdanlarında herhangi bir öğe veya kripto para birimi bıraktılarsa, bir kimlik avcısı onları saniyeler içinde ele geçirebilir.
OpenSea, kanalın nasıl hacklendiğine dair bir açıklama yapmadı. Ancak genellikle bu tarz saldırıların giriş noktası kuruluşların gönderi yapmak için kanallarındaki botları kontrol etmek için sıklıkla kullandıkları webhook özelliğidir. Bir bilgisayar korsanı yetkili birinin hesabına erişirse veya hesabını ele geçirirse, bunu resmi bir kaynaktan geliyormuş gibi görünen bir mesaj ve/veya URL göndermek için kullanabilir. Son saldırılar arasında; 800 bin dolar değerinde Rare Bears blok zinciri bibloları ve Bored Ape Yacht Club, 1 Nisan'da kanalının güvenlik ihlali yer alıyor. 25 Nisan'da BAYC Instagram, yalnızca bir kimlik avı bağlantısı göndererek 1 milyon dolardan fazla NFT'yi yakalayan benzer bir soygun için bir kanal görevi gördü.
Bu habere henüz yorum yazılmamış, haydi ilk yorumu siz bırakın!...