NFTコレクターは退屈な類人猿のNFTと派生物で2.7万ドルを失います

NFTコレクターのLarryLawlietは、月曜日にソーシャルエンジニアリング攻撃の疑いでXNUMXつの高価なBoredApesと他のNFTのセットを失いました。

加害者は、ローリエットをだまして、彼のNFTへのアクセスを許可する偽の取引に署名させたようです。 次に、このアクセスを使用して、NFTを自分のウォレットに転送しました。

Lawliet 取った ツイッターに、彼のNFTのうち13が攻撃者によって盗まれたと言っており、そのうち2.7つは退屈な類人猿、XNUMXつはミュータント類人猿、XNUMXつはDoodleです。 Lawlietの損失は、財布から盗まれたNFTの最低料金に基づいて合計でXNUMX万ドルになります。

どうした

被害者のトラブルは、攻撃者（おそらく同じ人物）が取ったときに始まりました コントロール Moschi Mochiと呼ばれる別のNFTコレクションのDiscordサーバーを使用して、追加のミントに関する偽のアナウンスを投稿します。 この詐欺では、Moschi Mochiコミュニティのメンバーを招待して、1,000 NFTの追加のミントに参加し、25,000ドルのラッフルを獲得するチャンスを得ました。

Etherscan で Lawliet のウォレット アドレスを見ると、彼が偽の造幣局とやり取りし、0.49 個の詐欺 NFT と引き換えに 14 ETH を送金したことがわかります。 移管直後、Lawliet の取引履歴には多数の「承認セット」取引が記録されています。

これらのセット承認トランザクションはすべて、ハッカーの「0xD27」アドレスが承認済みアドレスとして設定されていました。 これは、被害者が自分のウォレットでこれらのトランザクションに署名する際に、「setApprovalForAll」呼び出しを呼び出すようだまされたことを意味します。

盗まれたNFT。 画像： Twitter.

ここで重要なのは、誰かがMetaMaskなどのアプリ内ブラウザーを介してブロックチェーントランザクションを承認する場合、Webサイトにどのようなアクセス許可を与えているかが常に明確であるとは限らないということです。 この場合、被害者は、実際には自分のNFTを管理しているのに、通常の取引であると想定していました。

ただし、MetaMaskには、ユーザーがトランザクションを実行する前にトランザクションの正確な性質を調べることができる機能があります。 この手順では、[詳細]タブをクリックして、承認された住所などの重要な情報を含むトランザクションの詳細を表示します。 しかし、NFT造幣局の急いでいる間、投資家は常にこれをチェックするとは限りません。

この特定のコントラクトコール（setApprovalForAll）により、ハッカーは「transferFrom」コントラクトコールを開始でき、被害者の退屈な類人猿をすべて別のウォレットに転送できました。 プログラミングでは、呼び出しにより、ユーザーは別の契約のコードを実行できます。この場合、NFTを被害者からハッカーに転送する機能です。

攻撃者が被害者のNFTを制御する許可を得ると、攻撃者はそれらを別のウォレットに移動し始めました。 ハッカーはこの方法を使用して、退屈な類人猿や、ミュータント類人猿や落書きを含む他のNFTを取得することができました。

考えられる予防策

BAYCのような人気のNFTコレクションの所有者は、貴重なNFTを盗むことを目的としたソーシャルエンジニアリング攻撃の標的となり続けています。 この記事の執筆時点では、コレクションの最低価格は 118 ETH ($320,000) 以上です。

このような事件に対応して、セキュリティの専門家は一般的に「バーナーウォレット」の使用を勧めています。これは、ガス料金をカバーするための資金がわずかしか含まれていないアドレスです。 したがって、トランザクションがフィッシング攻撃である場合、被害者の損失は大幅に制限されます。

承認する前にトランザクションの詳細を確認することも、予防策として役立つ場合があります。 TalBe'eryとして それを置く、承認は、比較的長い取引履歴を持つ「信頼できる契約」にのみ行う必要があります。 MetaMaskのようなWebウォレットは、トランザクションの詳細を表示し、フィッシング攻撃を発見するのに役立つツールになります。

©2022 The Block Crypto、Inc. All Rights Reserved。 この記事は情報提供のみを目的としています。 法律、税務、投資、財務、その他のアドバイスとしての使用を目的としたものではありません。