צעד אחרי צעד: כך נגנבו מיליוני דולרים בתרמית NFT

בכמה צעדים לא מורכבים במיוחד הצליחו תוקפים אנונימיים לגנוב כ-3 מליון דולר ממכירה של NFT גנובים. איך הם עשו את זה ואיך תוכלו לשמור על ה-NFT שלכם

מקור: OpenSea

מאת: רומן זאיקין ודיקלה ברדה

OpenSea היא הפלטפורמה הראשונה והגדולה ביותר למסחר ב-NFT, ותמצאו בה מעל ל-80 מיליון יצירות, מעל ל-600 אלף משתמשים ומחזור מכירות יומי של למעלה מ-11 מיליון דולר.

לפני מספר ימים פרסמה OpenSea שהיא מתכוונת לבצע שדרוג של החוזה בפלטפורמה, ומכיוון שבבלוקצ’ין חוזים לא ניתנים לשינוי, עליה לייצר חוזה חדש. הרעיון מאחורי השדרוג של OpenSea הוא לטפל ברישומים ישנים של NFTs לא רלוונטיים, ובכדי לעשות זאת היתה צריכה הפלטפורמה לשדרג לחוזה חדש, מה שמצריך שכל המשתמשים יירשמו מחדש לפלטפורמה.

 

כמה בני טובים ניצלו את תהליך השדרוג המבלבל הזה, והחליטו להונות משתמשים במיליוני דולרים על ידי שימוש באותו מייל ששלחה OpenSea, ושליחתו מחדש בתוספת הפניה לאתר פישינג. לחיצה על הקישור ניווטה את המשתמשים לאתר פייק, שביקש מהמשתמשים לחתום על המעבר לחוזה החדש. זה נראה כך:

בימין: הזיוף, בשמאל: המקור

עם החתימה על הפעולה נשלחה פנייה לקוד של החוזה של התוקף עם פעולה הנקראת Atomic Match_. משם, ה-atomicMatch_ יעבור לפעולת atomicMatch בחוזה של OpenSea האחראית לכל המסחר באתר OpenSea. פעולת ה-atomicMatch היא הפעולה המרכזית באתר ומשמשת לצורך אישור עסקאות פשוטות על ידי אימות כלל הפרמטרים בעת ביצוע העסקה.

החוזה הזדוני של התוקף

זו הסיבה שהתוקף החליט להשתמש ב-atomicMatch כדי לגנוב NFTs, מכיוון שבקשה מסוג זה מסוגלת לגנוב את כל ה- NFTs – בפעולה אחת בלבד.

המתקפה נראית כך

  1. הקורבן לחץ על קישור זדוני ממייל הפישינג שקיבל
  2. לחיצה על הלינק העבירה את הקורבן לאתר המפוברק, שמבקש מהקורבן לחתום על פעולת העברה לחוזה החדש
  3. בחתימה על העסקה תישלח בקשת atomicMatch_ אל 0xa2c0946ad444dccf990394c5cbe019a858a945bd  (חוזה תוקף)
  4. התוקף מעביר את הבקשה ל-atomicMath בכתובת 0x7be8076f4ea4a4ad08075c2508e481d6c946d12b (חוזה OpenSea)
  5. החוזה של OpenSea מאמת את כל הפרמטרים של העסקה ומבצעת את העסקה כי הכל חתום על ידי הקורבן ומאושר
  6. חוזה OpenSea מתקשר עם חוזי ה-NFT ומעביר את ה-NFT מהקורבן לתוקף בהתאם לפרמטרים של atomicMatch

וככה זה נראה:

סדר הרצת הקוד

התוקף ביצע Dry Run ("ריצה יבשה") לפני ההתקפה, ומנסה לבצע atomicMatch ל-OpenSea ומאמת את ההתקפה שלו.

ניסיון הרצה של ההתקפה

מניתוח העסקאות בחשבון התוקף, גילינו שהתוקף הצליח לגנוב יותר מ-3 מיליון דולר של Ethereum כתוצאה ממכירה של חלק מה-NFT הגנובים.

הארנק של התוקף עם 3 מיליון דולר

איך להישאר בטוחים?

קודם כל, אתרים ופרויקטים רבים מבקשים גישה קבועה ל-NFT שלכם על ידי שליחת עסקה לחתימה. עסקה זו תעניק לשולחים גישה קבועה ל-NFT שלכם, אלא אם תבטלו את אישור העסקה בקישור הזה.

שנית, יש לשים לב במיוחד לפרטים של חתימת העסקה, שכן חתימה על עסקה כמוה כמתן הרשאה לאדם אחר לגשת לכל ה-NFT והמטבעות הקריפטוגרפיים שלכם. זו הסיבה שהחתימה מסוכנת מאוד.

במיוחד בתחום הקריפטוגרפיה אנחנו ממליצים להמנע מלחיצה על קישורים ממיילים, לא משנה מי השולח. יש לנסות ולאתר את אותו המידע אצל ספק האתר.

הכותבים הם חוקרי אבטחה בחברת צ'ק פוינט

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

7 תגובות על "צעד אחרי צעד: כך נגנבו מיליוני דולרים בתרמית NFT"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מיכאל
Guest

מענין.. אופןסי החזירו להם את הכסף לפחות?

השם שלי קצר מידי
Guest
השם שלי קצר מידי

נגנב NFT. ההשלכה ל״שווי״ מקרית ביותר. זה אוויר שלא שווה כלום. הונאת פונזי שתרסק את כולנו.

לשכת האבודה
Guest

גנב או לא, הוא אחלה סוכן, מכר ב3 מיליון, כבוד.

צהוב
Guest

אתר שכונה. מה זה האימייל העלוב הזה
למה אנשים חותמים חוזה שהגיע מאימייל שנראה ככה

עובד
Guest

בגדול זה בגלל השקר הגדול בNFT – שזה לא מבוזר כמו שאמור להיות כל מה שמנוהל בblock chain. לך יש רק חוזה סתום וחסר משמעות, האובייקט שהוא מייצג שמור בענן (ולא על הblock chain עצמו בגלל מיקום) וחברה כלשהי מנהלת את המשמעות שלו.

נעם
Guest

ההונאה האמיתית היא NFT, זה סתם עוד הונאה קטנה מעל זה.
לכל מהללי הגישה הלא ריכוזית, אלו הבעיות שלה, משהו קורה ואי אפשר לעשות שום דבר בנושא, אי אפשר לשנות את התנאים חזרה, לקבל חזרה את הכסף, אין למי להתלונן ומה לעשות.
הפתרון הוא גם ככ טכני שאף אחד לא באמת יכול להבין מה זה החוזה הזה ומה ההבדל בין החוזה המזוייף ולכן זה עבד.

KEY
Guest

הגיע הזמן לרישום הערת האזהרה בNFT או יצירת מנגנון שיהוי לאחר השלמת עסקה. ובכך לבצע פעולות פיקוח בתום השלמת עסקה או לחלופין ליצר מנגנון כלים שלובים של אימות יוזרים והצלבתם עם מידע ממשלתי, לכל הפחות זה ייצר עוד מנגנון שיקשה על גנבים לסחור בחוזים ויצירות גנובות.

wpDiscuz

תגיות לכתבה: