Niedawny hack OpenSea przypomina o znaczeniu przestrzegania kluczowych praktyk bezpieczeństwa w Web3.
W skrócie:
- Haker ukradł w weekend użytkownikom OpenSea NFT warte miliony dolarów.
- Uważa się, że haker nakłonił użytkowników do zatwierdzania transakcji, które pozwoliły na opróżnienie ich portfeli poprzez skomplikowany atak phishingowy.
- Istnieje kilka kroków, które należy wykonać, aby zmniejszyć ryzyko padnięcia ofiarą takich incydentów w sieci3.
Haker ukradł w weekend użytkownikom OpenSea NFT warte miliony dolarów. Incydent podkreślił znaczenie bezpieczeństwa operacyjnego w sieci Web3.
Hack OpenSea podkreśla zagrożenia bezpieczeństwa
19 lutego wielu użytkowników OpenSea zgłosiło, że ich portfele zostały opróżnione z cennych NFT z kolekcji takich jak Bored Ape Yacht Club i Azuki. Łączną wartość oszacowano na około 3 miliony dolarów. Następnego dnia OpenSea ogłosił, że główną przyczyną był atak phishingowy, który powstał „poza OpenSea”.
Atak skierowany był do 32 użytkowników. Uważa się, że zostali zwabieni do kliknięcia złośliwych linków w celu podpisania nieuczciwej inteligentnej umowy, która zezwalała na przeniesienie ich NFT do innego portfela. W rezultacie haker był w stanie odprowadzić ponad 250 NFT w ciągu kilku godzin.
OpenSea wykorzystuje podpisy poza łańcuchem do realizacji transakcji bezgazowych w imieniu swoich użytkowników. Mogą być wykonywane automatycznie, co oznacza, że użytkownicy nie muszą być online, aby zrealizować zamówienie NFT. Uważa się, że haker nakłonił ofiary do podpisania transakcji z Wyvern, protokołem wymiany NFT używanym przez OpenSea.
Pseudonimowy programista Solidity, znany jako foobar, opublikował burzę z tweetami po incydencie, w którym powiedział, że ofiary podpisały złośliwy kod, który pozwolił hakerowi spuścić NFT na „adres docelowy”, który kontrolował. Uważa się, że aby przekonać ofiary do podpisania kodu, udawały OpenSea przez e-mail lub inny format komunikacji.
Incydent zwraca uwagę na potrzebę zachowania ostrożności przy podpisywaniu inteligentnych transakcji kontraktowych. Służy również jako przypomnienie o zagrożeniach występujących w każdym zakątku sieci3 i znaczeniu, jakie dla użytkowników ma edukowanie się na temat zagrożeń w zmieniającym się krajobrazie. Aby zmniejszyć ryzyko padnięcia ofiarą takich ataków, aktywni użytkownicy Web3 mogą podjąć kilka kroków, aby się chronić.
Odwołaj uprawnienia
Jako pierwszy krok w kierunku zabezpieczenia NFT lub innych aktywów kryptograficznych, ważne jest, aby wiedzieć, jak odwołać uprawnienia związane z portfelem kryptograficznym. Ataki phishingowe, takie jak hack OpenSea, są poważnym problemem, ponieważ podpisanie tylko jednej złośliwej sygnatury może spowodować utratę każdego NFT przechowywanego w portfelu. Jeśli handlujesz na OpenSea i zezwolisz na podpis poza łańcuchem w kontrakcie Wyvern Exchange V1, cofnięcie pozwolenia na wydatkowanie środków jest jednym ze sposobów na zmniejszenie ryzyka, że haker wyczerpie środki z kontraktu.
Użytkownicy mogą cofnąć uprawnienia do portfela, przechodząc do strony Zatwierdzanie tokenów w Etherscan, łącząc swój portfel i znajdując zatwierdzenia tokenów dla każdej aplikacji, z którą portfel wchodził w interakcję.
Unikaj ślepych podpisów
Po włamaniu do OpenSea, dyrektor ds. technologii firmy, Nadav Hollander, powiedział w burzy tweetów , że w kontrakcie Wyvern V1 wykorzystano ważne podpisy ofiar (przed migracją OpenSea do Wyvern V2.3). Użytkownicy „podpisali zamówienie gdzieś, w pewnym momencie, w pewnym momencie” – powiedział. Sugeruje to, że ofiary mogły nieumyślnie podpisać szkodliwe umowy.
W przeszłości ataki typu phishing kryptowalut nakłaniały użytkowników do wprowadzenia frazy początkowej ich portfela, umożliwiając hakerowi dostęp do portfela i kradzież środków. W niektórych przypadkach hakerzy uzyskali pozwolenie na wydawanie środków, wabiąc użytkowników fałszywymi zrzutami. Ostatni incydent związany z OpenSea był inny, ponieważ haker próbował jednocześnie próbować wielu kolekcjonerów. Pokazuje, że oprócz ostrożności w stosunku do fraz początkowych, użytkownicy muszą być ostrożni przy podpisywaniu wiadomości poza łańcuchem i interakcji z podejrzanymi umowami.
Po podpisaniu podpisu osoba trzecia może wydawać środki w imieniu użytkowników, nawet jeśli są one przechowywane w portfelu sprzętowym. Dlatego ważne jest, aby użytkownicy zachowali ostrożność podczas wykonywania podpisów bezgazowych na OpenSea lub innych aplikacjach. Niektórzy eksperci od blockchain odradzają zatwierdzanie wszystkich ślepych podpisów.
Takie podpisy zawierają tylko kod szesnastkowy, który pojawia się tylko jako adres Ethereum; nie podają dodatkowych szczegółów transakcji. Podpisy EIP-712 dają jednak większą przejrzystość, ponieważ pokazują kompletne dane transakcyjne związane z czasem żądania podpisu. Według Hollandera format EIP-712, który jest dostarczany z niedawno zmigrowanymi kontraktami OpenSea, sprawia, że „złym aktorom znacznie trudniej jest nakłonić kogoś do podpisania zamówienia, nie zdając sobie z tego sprawy”.
Uważaj na mieszanie Web3 i e-maili
W związku z incydentem OpenSea pojawiło się wiele raportów o kampaniach phishingowych w wiadomościach e-mail. Uważa się, że haker wysłał wiadomość e-mail podszywającą się pod OpenSea, wzywając go do autoryzacji migracji ich wykazów NFT do nowej umowy Wyvern. Po kliknięciu okazuje się, że użytkownicy podpisali transakcje, które dały hakerowi pozwolenie na opróżnienie ich portfeli.
Dzięki rosnącej liczbie fałszywych wiadomości e-mail hakerzy znaleźli sposoby na wysyłanie wiadomości e-mail, które przypominają dowolną domenę poczty e-mail, którą lubią . Użytkownicy powinni uważać na wszystkie e-maile żądające transakcji z MetaMask lub dowolnego innego portfela Web3, nawet jeśli wydaje się, że pochodzą one z oficjalnego źródła. Jedną z najlepszych wskazówek dotyczących bezpieczeństwa operacyjnego jest unikanie interakcji z aplikacjami Web3 za pomocą łączy publikowanych za pośrednictwem poczty elektronicznej lub mediów społecznościowych. W rzeczywistości najlepiej jest unikać klikania linków związanych z kryptowalutami, chyba że pochodzą one z oficjalnego źródła.
Oprócz zachowania ostrożności podczas podpisywania transakcji i unikania ataków typu phishing, istnieją inne kroki, które użytkownicy krypto mogą podjąć, aby zachować ochronę. Dobrym pomysłem jest na przykład przeniesienie aktywów o wysokiej wartości, takich jak NFT, na urządzenia do przechowywania w chłodni, które nie wchodzą w interakcję z żadną aplikacją. Aby dowiedzieć się więcej o ochronie NFT przed hakerami, zapoznaj się z funkcją przewodnika dla początkujących .
Ujawnienie: W momencie pisania tej funkcji autor był właścicielem ETH i innych kryptowalut.
Źródło: cryptobriefing.com