Mae OpenSea, marchnad docynnau anffyngadwy, wedi dioddef hac ar ei brif sianel Discord. Mae'r toriad wedi caniatáu i'r actorion bygythiad bostio cyhoeddiadau ffug am bartneriaethau rhwng OpenSea a phrosiectau eraill.
Mae sianel Discord OpenSea wedi'i hacio
Rhannodd OpenSea a screenshot ar Fai 6 yn dangos y newyddion ffug am bartneriaethau. Roedd y sgrinlun hefyd yn cynnwys dolen i wefan gwe-rwydo. Postiodd y cyfrif Twitter swyddogol ar gyfer cefnogaeth OpenSea fod gweinydd Discord ar gyfer marchnad NFT wedi'i dorri fore Gwener. Cyhoeddodd y cwmni rybudd hyd yn oed i ddefnyddwyr, gan eu hannog i beidio â dilyn unrhyw un o'r dolenni a bostiwyd ar y sianel.
Roedd post cyntaf yr haciwr yn cynnwys sianel gyhoeddi yn honni bod marchnad yr NFT wedi “partneru â YouTube i ddod â’u cymuned i mewn i’r NFT Space.” Dywedodd y cwmni hefyd y byddai'n cyhoeddi tocyn mintys gydag OpenSea i ganiatáu i ddeiliaid bathu eu prosiect NFT heb unrhyw gost.
Arhosodd yr haciwr ar y gweinydd am amser hir cyn y gallai OpenSea adennill y cyfrif. Fodd bynnag, roedd yr haciwr eisoes wedi cymryd rhan mewn sawl ymgais i sbarduno defnyddwyr i ymateb i'r cyhoeddiad trwy godi ofn colli allan. Postiodd yr haciwr negeseuon dilynol, a honnodd fod 70% o’r cyflenwad wedi’i bathu.
Ceisiodd yr haciwr hefyd ddenu defnyddwyr OpenSea trwy ddweud y byddai YouTube yn cynnig “cyfleustodau gwallgof.” Byddai'r cyfleustodau hyn yn cael eu rhoi i'r rhai sy'n hawlio'r NFTs. Roeddent hefyd yn honni y byddai'r cynnig yn unigryw ac na fyddai angen rowndiau ychwanegol ar gyfer cyfranogiad.
Mae metrigau cadwyn yn datgelu bod 13 waled wedi'u peryglu hyd yn hyn, a'r NFT mwyaf gwerthfawr a gafodd ei ddwyn oedd Pas y Sylfaenwyr, gwerth 3.33 Ether, sy'n cyfateb i tua $8900.
Bachau gwe sydd wedi'u priodoli i doriad gweinydd
Dywedodd yr adroddiadau cyntaf fod y tresmaswr wedi mabwysiadu Webhooks i gael mynediad at reolaethau'r gweinydd. Mae gwehociau yn ategion gweinydd sy'n caniatáu i feddalwedd arall dderbyn gwybodaeth amser real. Mae webhooks yn ennill mwy o ddefnydd fel fector ymosodiad ar gyfer hacwyr oherwydd eu bod yn hwyluso negeseuon gyda'r cyfrifon gweinydd swyddogol.
Mae webhooks nid yn unig wedi'u defnyddio i ymosod ar weinydd discord OpenSea ond hefyd wedi'u defnyddio i ymosod ar gasgliadau poblogaidd NFT. Cafodd Clwb Hwylio Bored Ape, KaijuKings a Doodles eu torri yn gynnar y mis diwethaf ar ôl manteisio ar fregusrwydd tebyg gan ganiatáu i hacwyr ddefnyddio cyfrifon gweinydd swyddogol i gyhoeddi dolenni gwe-rwydo.
Mae eich cyfalaf mewn perygl.
Darllenwch fwy:
Ffynhonnell: https://insidebitcoins.com/news/opensea-discord-server-hacked-increasing-the-risk-of-phishing-scams