Nederlands
English
Français
Deutsch
Italiano
Português
Русский
Español
Kevin Rose, de mede-oprichter van de nonfungible token (NFT)-collectie Moonbirds, is het slachtoffer geworden van een phishing-zwendel die ertoe leidde dat voor meer dan $ 1,1 miljoen aan persoonlijke NFT’s werd gestolen.
De NFT-maker en mede-oprichter van PROOF deelde het nieuws op 25 januari met zijn 1,6 miljoen Twitter-volgers en vroeg hen om geen Squiggles NFT’s te kopen totdat ze erin slagen ze als gestolen te markeren.
Ik ben net gehackt, blijf op de hoogte voor details – koop alstublieft geen kronkels totdat we ze hebben gemarkeerd (net 25 verloren) + een paar andere NFT’s (een autoglyph) …
— KΞVIN R◎SE (,) (@kevinrose) 25 januari 2023
“Bedankt voor alle lieve, ondersteunende woorden. Er komt een volledige debriefing,’ zei hij toen gedeeld in een aparte tweet ongeveer twee uur later.
Het is duidelijk dat de NFT’s van Rose werden geleegd na het ondertekenen van een kwaadaardige handtekening die een aanzienlijk deel van zijn NFT-activa overdroeg aan de uitbuiter.
GM – wat een dag!
Vandaag werd ik gephisht. Morgen behandelen we alle details live, als waarschuwing, op Twitter-ruimtes. Hier is hoe het technisch ging: https://t.co/DgBKF8qVBK— KΞVIN R◎SE (,) (@kevinrose) 25 januari 2023
Een onafhankelijke analyse uit Arkham ontdekte dat de uitbuiter ten minste één Autoglyph (345 ETH), 25 Art Blocks – ook bekend als Chromie Squiggle – (332,5 ETH) en negen OnChainMonkey-items (7,2 ETH) had geëxtraheerd.
In totaal is er ten minste 684,7 ETH ($ 1,1 miljoen) geëxtraheerd.
Hoe Kevin Rose werd uitgebuit
Hoewel verschillende onafhankelijke on-chain-analyses zijn gedeeld, legde vice-president van PROOF – het bedrijf achter Moonbirds – Arran Schlosberg aan zijn 9.500 Twitter-volgers uit dat Rose “gephisht was om een kwaadaardige handtekening te ondertekenen”, waardoor de uitbuiter een groot aantal van penningen:
1/ Dit was een klassiek stukje social engineering, waarbij KRO een vals gevoel van veiligheid werd gegeven. Het technische aspect van de hack was beperkt tot het maken van handtekeningen die werden geaccepteerd door het marktplaatscontract van OpenSea.
— Arran (@divergentiearran) 25 januari 2023
Crypto-analist “foobar” ging verder in op het “technische aspect van de hack” in een apart bericht op 25 januari, waarin hij uitlegde dat Rose een OpenSea-marktplaatscontract goedkeurde om al zijn NFT’s te verplaatsen telkens wanneer Rose transacties ondertekende.
Hij voegde eraan toe dat Rose altijd “één kwaadaardige handtekening” verwijderd was van een exploit:
wees super voorzichtig bij het ondertekenen van iets, zelfs offchain-handtekeningen. Kevin Rose heeft zojuist ~ $ 2 miljoen aan NFT’s uit zijn kluis gehaald na het ondertekenen van een kwaadwillende zeehavenbundel. gelukkig werden een paar dingen tegengehouden, zoals de punkzombie (1000 ETH) die niet kan worden verhandeld op OS pic.twitter.com/GXHR3NQHLf
— foobar (@0xfoobar) 25 januari 2023
De crypto-analist zei dat Rose in plaats daarvan zijn NFT-activa in een aparte portemonnee had moeten “siloen”:
“Het verplaatsen van activa van uw kluis naar een afzonderlijke “verkoop” -portemonnee voordat deze op NFT-marktplaatsen wordt vermeld, zal dit voorkomen. “
Een andere on-chain-analist, “Quit”, vertelde zijn 71.400 Twitter-volgers verder dat kwaadaardige handtekeningen mogelijk werden gemaakt door het Seaport-marktplaatscontract – het platform dat OpenSea aandrijft:
Kevin Rose is zojuist $ 2 miljoen aan activa kwijtgeraakt door een off-chain handtekening te ondertekenen die in één keer een lijst creëerde voor al zijn door OpenSea goedgekeurde activa.
Hoewel zeehaven een krachtig hulpmiddel is, kan het ook gevaarlijk zijn als u niet weet hoe het werkt.
Een beetje context 1/
— stop (@0xQuit) 25 januari 2023
Quit legde uit dat de uitbuiters een phishing-site konden opzetten die de NFT-activa in Rose’s portemonnee kon bekijken.
De uitbuiter zette vervolgens een order op voor alle activa van Rose die zijn goedgekeurd op OpenSea om vervolgens te worden overgedragen aan de uitbuiter.
Rose valideerde vervolgens de kwaadaardige transactie, merkte Quit op.
Verwant: Bluechip NFT-project Moonbirds tekent bij Hollywood-talentagenten UTA
Ondertussen merkte foobar op dat de meeste gestolen activa ver boven de bodemprijs lagen, wat betekent dat het gestolen bedrag kan oplopen tot $ 2 miljoen.
Quit drong erop aan dat OpenSea-gebruikers “weg moeten rennen” van elke andere website die gebruikers vraagt iets te ondertekenen dat er verdacht uitziet.
NFT’s in beweging
On-chain-analist “ZachXBT” deelde een transactiekaart met zijn 350.300 Twitter-volgers, waaruit blijkt dat de uitbuiter de activa naar FixedFloat heeft gestuurd – een cryptocurrency-uitwisseling op het Bitcoin layer-2 “Lightning Network”.
De uitbuiter heeft het geld vervolgens overgemaakt naar Bitcoin (BTC) en voordat de BTC in een Bitcoin-mixer werd gestort:
Drie uur geleden werd Kevin gephisht voor $1,4 miljoen+ aan NFT’s. Eerder vandaag heeft dezelfde oplichter 75 ETH gestolen van een ander slachtoffer.
Als we dit in kaart brengen, zien we een duidelijke trend om het gestolen geld naar FixedFloat te sturen en te ruilen voor BTC voordat het wordt gestort op een bitcoin-mixer. https://t.co/2yrFpfYttT pic.twitter.com/ZlywPYydwx
— ZachXBT (@zachxbt) 25 januari 2023
Crypto Twitter-lid “Degentraland” vertelde hun 67.000 Twitter-volgers dat dit het “meest trieste” was dat ze tot nu toe in cryptocurrency-ruimte hebben gezien, eraan toevoegend dat als iemand terug kan komen van zo’n verwoestende exploit, “hij het is”:
Het meest trieste dat ik tot nu toe in crypto heb gezien.@kevinrose portemonnee leeg.
Als iemand hier vanaf kan komen, is hij het. pic.twitter.com/HZysg34qji
— Degentraland (@Degentraland) 25 januari 2023
Ondertussen was Bankless-oprichter Ryan Sean Adams woedend over het gemak waarmee Rose kon worden uitgebuit. In de 25 januari tweeten, Adams drong er bij front-end-engineers op aan hun spel op te pakken en de gebruikerservaring (UX) te verbeteren om dergelijke oplichting te voorkomen.
Lees hier het volledige artikel.