блокчейн мошенничество социальная инженерия NFT
Украденная NFT-коллекция была быстро продана за более полумиллиона долларов.
Мошенники смогли обманом заставить коллекционера, собирающего NFT-картинки с изображениями обезьян и мутантов, передать им свою коллекцию, которую они затем успешно продали более чем за полмиллиона долларов.
В понедельник, 31 января, пользователь Twitter, называющий себя larrylawliet (@iloveponzi), сообщил о потере своей коллекции и попросил помощи. По словам исследователя безопасности, специализирующегося на криптовалюте, злоумышленники, похоже, смогли заставить larrylawliet разрешить своему кошельку взаимодействовать с их кошельком. Этот вид мошенничества приобретает все большую популярность в криптомире, в особенности сейчас, когда NFT-искусство стоит тысячи, а то и миллионы долларов.
«Вероятно, это какое-то мошенническое dAPP (децентрализованное приложение – ред.), представляющее одобренную транзакцию в кошелек пользователя», – сообщил изданию Motherboard старший технический директор сервиса ZenGo Тал Беери (Tal Be’ery).
Беери изучил транзакции в блокчейне и выяснил, что larrylawliet предоставил доступ к своей NFT-коллекции децентрализованному приложению, которое, как он думал, должно было помочь ему продать NFT-картинки. Однако это оказалось вовсе не dAPP, а личный криптовалютный кошелек мошенников, успешно укравших всю его коллекцию.
По словам larrylawliet, его NFT были похищены в рамках резонансного взлома NFT-проекта Moshi Mochi. Так, 31 января в Twitter появилось сообщение от Moshi Mochi о взломе официального Discord-канала проекта. Злоумышленникам удалось присвоить себе канал и через него переадресовывать пользователей на поддельный сайт. Как сообщает Moshi Mochi, его пользователи в общей сложности лишились 35 эфиров.
Однако для larrylawliet взлом Discord-канала проекта оказался фатальным. Он купился на опубликованную на канале вредоносную ссылку, обещавшую возможность отчеканить финальный раунд NFT. Жертва нажала на ссылку, одобрила действие – и вся ее коллекция уплыла из-под носа.
Судя по записям блокчейна, злоумышленники похитили у larrylawliet семь NFT: один из Bored Ape Yacht Club, пять из Mutant Ape Yacht Club и один Doodle. Другие жертвы лишились четыре Doodle. Похищенные NFT затем были проданы всего за $700 тыс. (украденный у larrylawliet Bored Ape ушел за 100 эфиров – порядка $275 тыс.).
По словам larrylawliet, воры сильно занизили цену, и реальная стоимость награбленного составляет 1000 эфиров – порядка $2,7 млн. Он объяснил это желанием злоумышленников поскорее продать краденые NFT, пока они не были заблокированы администрацией торговой площадки OpenSea. Действительно, в настоящее время эти NFT «заморожены» на OpenSea.
Согласно записям блокчейна, 600 эфиров на сумму около $1,5 млн были переведены из кошелька мошенников на «миксер» Tornado Cash.
SECURITYLAB.RU