Mae Harpie yn hysbysu defnyddwyr NFT am driciau ffres a ddefnyddir gan hacwyr sy'n ymwneud â phrynu heb nwy ar OpenSea. Mae'r platfform yn honni bod hacwyr wedi dwyn gwerth miliynau o epaod yn ystod yr ychydig fisoedd diwethaf.
Yn nodweddiadol, mae'n rhaid i ddefnyddwyr gymeradwyo cais llofnod gyda neges annealladwy i wneud gwerthiannau di-nwy ar farchnad boblogaidd NFT, OpenSea, a hefyd creu arwerthiannau preifat. Cyflwynir llofnodion yn aml fel camau angenrheidiol i fewngofnodi a defnyddio'r wefan.
Trwy fanteisio ar y bwlch technegol hwn, mae gwefannau gwe-rwydo wedi dechrau gofyn i ddioddefwyr lofnodi un o'r cymeriadau annealladwy hyn, yn ddiarwybod iddynt.
Mae negeseuon mewngofnodi a anfonir gan hacwyr at ddioddefwyr yn geisiadau llofnod sy'n gofyn i'r defnyddiwr gymeradwyo gwerthiannau preifat a throsglwyddo asedau ar unwaith i'r cyfrif haciwr am ddim.
Mae'r ymgyrch tric a gwe-rwydo hon, mae Harpie yn ei nodi, wedi arwain at werth miliynau o epaod wedi'u trosglwyddo o farchnad boblogaidd yr NFT.
Dylai defnyddwyr Web3 wylio am we-rwydo iâ
Ar ôl gwe-rwydo diweddar ymosod ar ar Metamask, rhybuddiodd y cwmni diogelwch blockchain CertiK y gymuned arian cyfred digidol yn ddiweddar am arfer y maent yn ei alw’n “gwe-rwydo iâ.”
Gan ddefnyddio'r bregusrwydd hwn, mae artistiaid con yn cael defnyddwyr Web3 i lofnodi caniatâd sy'n rhoi'r hawl i ymosodwyr ddefnyddio eu tocynnau. Mae'r twyll, yn ôl CertiK, yn gyfyngedig i'r diwydiant Web3 ac yn achosi perygl difrifol.
Ar Ragfyr 17, nododd dadansoddwr sut y dywedir bod artist con wedi dwyn 14 Bored Ape NFT's gan ddefnyddio'r swyddogaeth llofnod Seaport heb nwy.
Cynhaliodd yr haciwr beirianneg gymdeithasol helaeth cyn arwain y dioddefwr i lwyfan NFT phony a gofyn am y cyfrif a ddefnyddir i ymrwymo i gontract. Yna cafodd waled y dioddefwr ei dwyn ar ôl hynny.
Ffynhonnell: https://crypto.news/hackers-exploiting-opensea-feature-to-steal-expensive-apes-and-nfts/