OpenSea, незаменлив пазар за токени, стана жртва на хакирање на својот главен канал Discord. Прекршувањето им овозможи на актерите за закана да објавуваат лажни објави за партнерства помеѓу OpenSea и други проекти.
Хакиран каналот Discord на OpenSea
OpenSea сподели а екранот на 6 мај прикажувајќи ги лажните вести за партнерства. Сликата од екранот, исто така, содржеше врска до веб-локација за фишинг. Официјалната сметка на Твитер за поддршка на OpenSea објави дека серверот Discord за пазарот NFT бил пробиен во петокот наутро. Компанијата дури издаде предупредување до корисниците, повикувајќи ги да не следат ниту една од линковите објавени на каналот.
Првата објава направена од хакерот вклучуваше огласен канал во кој се тврди дека пазарот на NFT „соработувал со YouTube за да ја внесе нивната заедница во просторот NFT“. Компанијата, исто така, рече дека ќе објави пропусница за нане со OpenSea за да им овозможи на сопствениците да го коваат својот NFT проект без трошоци.
Хакерот останал на серверот долго време пред OpenSea да ја врати сметката. Сепак, хакерот веќе се вклучи во неколку обиди да ги поттикне корисниците да реагираат на објавата со всадување на страв од пропуштање. Хакерот објавил последователни објави и тврдел дека 70% од набавката биле ковани.
Хакерот, исто така, се обиде да ги привлече корисниците на OpenSea велејќи дека YouTube ќе понуди „луди комунални услуги“. Овие комунални услуги ќе им бидат дадени на оние кои побараа NFT. Тие исто така тврдеа дека понудата ќе биде единствена и дека нема да бидат потребни дополнителни кругови за учество.
Метриката на синџирот открива дека досега се компромитирани 13 паричници, а највредниот NFT што бил украден е Founders' Pass, со вредност од 3.33 етер, што е еквивалентно на околу 8900 долари.
Веб-куки припишани на прекршување на серверот
Првите извештаи велеа дека натрапникот усвоил Webhooks за да пристапи до контролите на серверот. Webhooks се приклучоци за сервери кои овозможуваат други софтвери да примаат информации во реално време. Веб-куките добиваат зголемена употреба како вектор за напад за хакерите бидејќи го олеснуваат испраќањето пораки со официјалните сметки на серверот.
Webhooks не само што се користеа за напад на OpenSea discord серверот, туку се користеа и за напад на популарни NFT колекции. Bored Ape Yacht Club, KaijuKIngs и Doodles беа пробиени на почетокот на минатиот месец, откако искористија слична ранливост што им дозволува на хакерите да ги користат официјалните сметки на серверот за објавување врски за фишинг.
Вашиот капитал е изложен на ризик.
Прочитајте повеќе за:
Извор: https://insidebitcoins.com/news/opensea-discord-server-hacked-increasing-the-risk-of-phishing-scams