OpenSea, nuova truffa sottrae NFT agli utenti
In breve
- I siti di phishing falsificano la funzione di asta come opzione di login
- Gli utenti vengono derubati dei loro NFT
- Un’altra truffa “Ice Phishing” prende di mira gli utenti di Web3
Con la crescente popolarità dei token non fungibili (NFT), gli attori malintenzionati sono diventati più attivi, cercando costantemente di sfruttare anche questo settore.
Ora, un nuovo hack che colpisce una funzione del mercato NFT OpenSea sta minacciando i proprietari di NFT attraverso siti di phishing.
In un annuncio, il progetto antifurto Harpie ha messo in guardia gli utenti NFT da un nuovo hack che colpisce le vendite senza addebito di gas sulla piattaforma OpenSea.
Secondo Harpie, gli hacker sono riusciti a sottrarre ai malcapitati milioni di dollari in beni digitali sfruttando questa caratteristica.
Quando gli utenti vogliono effettuare vendite senza costi di gas sulla piattaforma OpenSea, devono approvare una richiesta di firma con un messaggio illeggibile.
Questa funzione consente inoltre agli utenti di creare aste private con firme illeggibili.
Hackers have been able to steal NFTs like magic with a little-known OpenSea feature. It's the newest hack, and multiple millions in Apes have been lost to it already.
(🧵1/4) pic.twitter.com/fTK20WQrgh
— Harpie (@harpieio) December 22, 2022
I siti web di phishing sfruttano la vulnerabilità
Di conseguenza, i siti web di phishing hanno sfruttato questa funzione per chiedere alle loro vittime di firmare uno di questi messaggi illeggibili.
Secondo Harpie, le firme spesso fingono che sia necessario effettuare il login e accedere al sito web.
In realtà, però, i messaggi di login sono una richiesta di firma, una vendita privata degli NFT della vittima al truffatore per 0 ETH.
Dopo la firma, gli NFT vengono inviati all’indirizzo del portafoglio dell’hacker.
“Ice Phishing”, un’altra truffa.
Oltre a questa truffa, la società di sicurezza blockchain CertiK ha recentemente lanciato un avvertimento alla comunità crittografica riguardo a quello che chiama “Ice Phishing”.
Con questa truffa, gli hacker inducono gli utenti di Web3 a firmare autorizzazioni che consentono agli aggressori di emettere i loro token. CertiK ha osservato che questa truffa rappresenta una minaccia significativa ed è unica nel mondo Web3.
Il 17 dicembre scorso, un analista ha riferito che un truffatore ha utilizzato la funzione di firma Seaport, esente da tasse, per rubare presumibilmente 14 NFT di Bored Ape.
Dopo un accurato lavoro di ingegneria sociale, l’hacker ha indirizzato la vittima verso una piattaforma NFT falsa e ha chiesto al titolare di firmare un contratto. Il portafoglio della vittima è stato quindi svuotato.
