Mae casglwr NFT yn colli $2.7 miliwn mewn NFTs a deilliadau Bored Ape

Collodd casglwr NFT, Larry Lawliet, saith Apes Bored drud a set o NFTs eraill i ymosodiad peirianneg cymdeithasol a amheuir ddydd Llun.

Roedd yn ymddangos bod y cyflawnwr yn twyllo Lawliet i arwyddo trafodion ffug a roddodd fynediad iddynt i'w NFTs. Yna defnyddiwyd y mynediad hwn i drosglwyddo'r NFTs i'w waled eu hunain.

Lawliet Cymerodd i Twitter gan ddweud bod 13 o'i NFTs wedi cael eu dwyn gan yr ymosodwr gan gynnwys saith Apes Bored, pum Mutant Apes, ac un Doodle. Yn gyfan gwbl, mae colled Lawliet yn $2.7 miliwn yn seiliedig ar bris llawr yr NFTs a gafodd eu dwyn o'i waled.

Sut y digwyddodd

Dechreuodd trafferthion y dioddefwr pan gymerodd ymosodwr (yr un person yn ôl pob tebyg). rheoli o weinydd Discord o gasgliad NFT arall o'r enw Moschi Mochi i bostio cyhoeddiad ffug am fintys ychwanegol. Roedd y sgam yn cynnwys gwahodd aelodau o gymuned Moschi Mochi i gymryd rhan mewn bathdy ychwanegol o 1,000 o NFTs am gyfle i ennill raffl $25,000.

Mae golwg ar gyfeiriad waled Lawliet ar Etherscan yn dangos ei fod yn rhyngweithio â'r mintys ffug ac wedi anfon 0.49 ETH yn gyfnewid am 14 o'r NFTs sgam. Yn syth ar ôl y trosglwyddiad, mae hanes trafodion Lawliet yn dangos nifer o drafodion “cymeradwyaeth set”.

Gosodwyd cyfeiriad “0xD27” yr haciwr fel cyfeiriad cymeradwy i bob un o'r trafodion cymeradwyo gosodedig hyn. Roedd hyn yn golygu bod y dioddefwr wedi cael ei dwyllo i alw’r alwad “setApprovalForAll” wrth lofnodi’r trafodion hyn gyda’i waled ei hun.

Yr NFTs a gafodd eu dwyn. Delwedd: Twitter.

Un peth allweddol yma yw pan fydd rhywun yn cymeradwyo trafodiad blockchain trwy borwr mewn-app fel MetaMask, nid yw bob amser yn glir pa ganiatâd yn union y maent yn ei roi i'r wefan. Yn yr achos hwn, cymerodd y dioddefwr yn ganiataol eu bod yn drafodion rheolaidd pan mewn gwirionedd roedd yn rhoi rheolaeth dros ei NFTs ei hun.

Fodd bynnag, mae nodwedd ar MetaMask sy'n caniatáu i ddefnyddwyr archwilio union natur eu trafodion cyn eu gweithredu. Mae'r cam hwn yn cynnwys clicio ar y tab “manylion” sydd wedyn yn dangos manylion y trafodiad gan gynnwys gwybodaeth hanfodol fel cyfeiriadau yn cael cymeradwyaeth. Ond yn ystod y rhuthr am bathdy NFT, efallai na fydd buddsoddwyr bob amser yn gwirio hyn.

Caniataodd yr alwad gontract benodol hon — setApprovaForAll — i'r haciwr gychwyn yr alwad contract “transferFrom” a'i galluogodd i drosglwyddo holl Bored Apes y dioddefwr i waled arall. Mewn rhaglennu, mae galwad yn caniatáu i ddefnyddiwr weithredu cod contract arall, yn yr achos hwn, y gallu i drosglwyddo NFTs o'r dioddefwr i'r haciwr.

Unwaith y cafodd yr ymosodwr ganiatâd i reoli NFTs y dioddefwr, fe ddechreuon nhw eu symud i waled gwahanol. Roedd yr haciwr yn gallu defnyddio'r dull hwn i gymryd yr Apes Bored a NFTs eraill gan gynnwys Mutant Apes a Doodles.

Mesurau ataliol posibl

Mae perchnogion casgliadau NFT poblogaidd fel BAYC yn parhau i fod yn dargedau o ymosodiadau peirianneg gymdeithasol gyda'r nod o ddwyn eu NFTs gwerthfawr. Ar adeg ysgrifennu, mae gan y casgliad bris llawr o dros 118 ETH ($ 320,000).

Mewn ymateb i ddigwyddiadau fel y rhain, mae arbenigwyr diogelwch yn gyffredinol yn cynghori defnyddio "waledi llosgwr," cyfeiriadau sy'n cynnwys dim ond swm bach o arian i dalu ffioedd nwy. Felly, os yw'r trafodiad yn digwydd i fod yn ymosodiad gwe-rwydo, bydd colled y dioddefwr yn gyfyngedig iawn.

Gallai dilysu manylion trafodion cyn cymeradwyo hefyd fod yn fesur ataliol defnyddiol. Fel Tal Be'ery rhowch hi, ni ddylai cymeradwyaethau fynd i “gontractau dibynadwy” sydd â hanes trafodion cymharol hir. Mae waledi gwe fel MetaMask yn dangos manylion trafodion a gallant fod yn arf defnyddiol wrth sylwi ar ymosodiadau gwe-rwydo.

© 2022 The Block Crypto, Inc. Cedwir pob hawl. Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall.