El creador de la colección Moonbirds NFT, Kevin Rose, perdió alrededor de $ 1 millón en NFT después de ser víctima de una vulnerabilidad de billetera.
Rose perdió varios NFT, incluidos 25 Chronie Squiggles y un Autoglyph NFT. El hackeo fue confirmado por el propio Rose en su cuenta de Twitter.
Una pérdida de un millón de dólares
Kevin Rose, cofundador de la colección Moonbirds NFT, ha sido víctima de una estafa de phishing y ha perdido más de 1.1 millones de dólares en NFT de su colección personal. Rose confirmó el hackeo en su cuenta de Twitter, y un vistazo al historial de transacciones de la billetera de Rose en OpenSea revela el alcance del hackeo. Rose perdió varios NFT, como OnChainMonkeys, Squiggles y Cool Cats. Rose declaró en Twitter,
“Me acaban de hackear; Estén atentos a los detalles: evite comprar garabatos hasta que los marquemos (acabo de perder 25) + algunos otros NFT (un autoglifo)".
Sin embargo, Rose pudo salvar sus NFT más valiosos manteniéndolos en una bóveda separada. Estos NFT incluyen un Zombie CryptoPunk (CryptoPunk #5066), del cual solo hay otros 87 NFT. Los usuarios especularon que la billetera en cuestión estaba comprometida porque Rose firmó un paquete de puerto marítimo malicioso. Un paquete de puerto marítimo permite a los usuarios intercambiar múltiples activos por otros artículos del mismo valor. Rose, por su parte, instó a los usuarios a evitar comprar Squiggle NFT mientras su equipo trabajaba para marcarlos como robados.
Detalles del truco
Pronto surgieron detalles sobre cómo se llevó a cabo el hackeo. Se reveló que lo más probable es que el ataque ocurrió después de que aprobó una firma maliciosa, lo que permitió al atacante transferir una cantidad significativa de NFT de Rose fuera de la billetera. Un análisis del hackeo reveló que el atacante logró desviar al menos un Autoglyph, que tiene un precio mínimo de 345 ETH, Chromie Squiggles, que valían alrededor de 332.5 ETH, y nueve artículos de OnChainMonkey, que valían alrededor de 7.2 ETH.
El vicepresidente de COMPROBANTE, la entidad detrás de la colección Moonbirds, Arran Schlosberg, explicó el hackeo en Twitter, revelando que Rose fue víctima de un exploit de phishing que lo engañó para que firmara una firma maliciosa y permitió que el atacante robara los NFT en cuestión.
“Esta tarde, @kevinrose fue víctima de phishing para firmar una firma maliciosa que permitió al pirata informático transferir una gran cantidad de tokens de alto valor. Aquí hay un desglose de lo que sucedió, nuestra respuesta inmediata y nuestros esfuerzos continuos. Esta fue una pieza clásica de ingeniería social, engañando a KRO con una falsa sensación de seguridad. El aspecto técnico del hack se limitó a crear firmas aceptadas por el contrato de mercado de OpenSea".
El criptoanalista foobar explicó que Rose había aprobado un contrato de mercado OpenSea para mover todos sus NFT cada vez que firmaba transacciones, afirmando que Rose siempre estuvo a una firma maliciosa del desastre. El analista agregó que Rose debería haber guardado sus activos en silos en una billetera separada.
"Mover activos de su bóveda a una billetera de 'venta' separada antes de cotizar en los mercados de NFT evitará esto".
La firma maliciosa fue habilitada por el contrato del mercado del puerto marítimo, que, si bien es una herramienta poderosa, también es peligrosa si los usuarios no saben cómo funciona.
Activos robados en movimiento
Foobar también reveló que los activos robados se valoraron muy por encima de su precio mínimo, lo que significa que la pérdida podría ser considerablemente mayor. El criptoanalista en cadena ZachXBT rastreó los activos robados y reveló que el explotador envió los activos a FixedFloat, un intercambio en Bitcoin Lightning Network. Luego, los fondos se cambiaron a BTC y se depositaron en un mezclador de Bitcoin.
“Hace tres horas, Kevin fue estafado por más de $1.4 millones en NFT. Hoy temprano, el mismo estafador robó 75 ETH de otra víctima. Mapeando esto, podemos ver una tendencia clara de enviar los fondos robados a FixedFloat y cambiarlos por BTC antes de depositarlos en un mezclador de bitcoins".
El fundador de Bankless, Ryan Sean Adams, señaló la facilidad con la que Rose fue explotada e instó a los ingenieros de front-end a mejorar la experiencia del usuario.
Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://cryptodaily.co.uk/2023/01/moonbirds-creator-loses-1-million-in-nfts-after-wallet-exploit