Dioddefodd marchnad tocyn anffungible (NFT) OpenSea doriad gweinydd ar ei brif sianel Discord, gyda hacwyr yn postio cyhoeddiadau “partneriaeth YouTube” ffug.
Ciplun rhannu Mae dydd Gwener yn dangos newyddion cydweithredu ffug, ynghyd â dolen i wefan gwe-rwydo. Trydarodd cyfrif Twitter swyddogol OpenSea Support fod gweinydd Discord y farchnad wedi’i dorri fore Gwener a rhybuddiodd ddefnyddwyr i beidio â chlicio ar ddolenni yn y sianel.
Peidiwch â chlicio ar ddolenni yn ein Discord.
Rydym yn parhau i ymchwilio i'r sefyllfa hon a byddwn yn rhannu gwybodaeth fel sydd gennym. https://t.co/jgtHcXifer
— Cymorth OpenSea (@opensea_support) Efallai y 6, 2022
Roedd post cychwynnol yr haciwr, a gyhoeddwyd yn y sianel gyhoeddiadau, yn honni bod OpenSea wedi “partneru â YouTube i ddod â’u cymuned i mewn i’r NFT Space.” Dywedodd hefyd y byddent yn rhyddhau tocyn mintys gydag OpenSea a fyddai'n caniatáu i ddeiliaid bathu eu prosiect am ddim.
Mae'n ymddangos bod y tresmaswr wedi gallu aros ar y gweinydd am gyfnod sylweddol o amser cyn i staff OpenSea allu adennill rheolaeth. Mewn ymgais i ennyn “ofn colli allan” yn y dioddefwyr, fe wnaeth yr haciwr ail-bostio apwyntiadau dilynol i’r cyhoeddiad twyllodrus cychwynnol, gan ail-wneud y cyswllt ffug, a honni bod 70% o’r cyflenwad eisoes wedi’i bathu.
Ceisiodd y sgamiwr hefyd ddenu defnyddwyr OpenSea trwy nodi y byddai YouTube yn darparu “cyfleustodau gwallgof” i'r rhai a hawliodd yr NFTs. Maent yn honni bod y cynnig hwn yn unigryw ac na fyddai unrhyw rowndiau pellach i gymryd rhan, sy'n nodweddiadol o dwyllwyr.
neges swyddogol gan y sylfaenwyr
Cafodd anghytgord Doodles ei dreiddio gan bot wedi'i hacio. Unrhyw neges a roddir yn unrhyw un o'n sianeli, anwybyddwch am y tro. Rydyn ni arno. Mae ein cyfreithwyr, ffrindiau anghytgord, a'r gymuned yn ein helpu. Byddwn yn eich diweddaru wrth i ni wneud diagnosis o'r sefyllfa.
— dwdls (@doodles) Chwefror 26, 2022
Data ar y gadwyn yn dangos 13 sy'n ymddangos fel pe baent wedi'u cyfaddawdu o ran ysgrifennu, a'r NFT mwyaf gwerthfawr sydd wedi'i ddwyn yw Tocyn Sylfaenwyr gwerth tua 3.33 ETH neu $8,982.58.
Adroddiadau cychwynnol awgrymu bod y tresmaswr wedi defnyddio bachau gwe i gael mynediad at reolyddion gweinydd. Mae bachyn gwe yn ategyn gweinydd sy'n caniatáu i feddalwedd arall dderbyn gwybodaeth amser real. Mae webhooks wedi cael eu defnyddio fwyfwy fel fector ymosodiad gan hacwyr oherwydd eu bod yn darparu'r gallu i anfon negeseuon o gyfrifon gweinydd swyddogol.
Cysylltiedig: Mae sgamiau gwe-rwydo ar thema epaen ar gynnydd, yn ôl arbenigwyr
Nid yr OpenSea Discord yw'r unig weinydd i gael ei ecsbloetio trwy we bachau. Sawl sianel amlwg o gasgliadau NFT, gan gynnwys Clwb Hwylio Ape diflas, Doodles a KaijuKings, eu peryglu yn gynnar ym mis Ebrill gyda bregusrwydd tebyg a oedd yn caniatáu i'r haciwr ddefnyddio cyfrifon gweinydd swyddogol i bostio dolenni gwe-rwydo.
Ffynhonnell: https://cointelegraph.com/news/opensea-discord-server-hacked-users-warned-to-be-vigilant-of-phishing-scams