Larry Lawliet NFT gyűjtő hét nagyértékű Bored Apes- és több kisebb NFT-vel lett szegényebb, miután átverték őt és a támadó kiutalta azokat saját tárcájába.
Az elkövetőnek sikerült aláíratni az áldozattal egy-egy kártékony tranzakciót, amivel hozzáférést kapott a tárcájához. Ezután átutalta az ott található NFT-ket saját magának.
Lawliet a Twitteren beszélt az esetről: elmondta, hogy 13 NFT-t loptak el tőle, beleértve hét Bored Apes-et, öt Mutant Apes-et és egy Doodle NFT-t. Az áldozat összvesztesége eléri a 2,7 millió dollárt.
A csalás a következőképpen zajlott: egy NFT kollekcióról szóló Discord szerver irányítását átvette egy csaló. Ő posztolt egy hivatalos bejelentést a szerveren, amiben egy bónusz 1000 darabos mintre irányította az embereket, ahol 25 000 dollárt is nyerhettek. Az áldozatunk Etherscan történetén látható, hogy részt vett a mintelésben és 0,49 ETH-ért 14 darab kamu NFT-t is kapott. Ezután beleegyezését adta több kártékony tranzakcióhoz a tárcaszoftverén. Ez végzetesnek bizonyult, ugyanis olyan okos szerződésről és hozzá tartozó hívásokról volt szó, ami a támadó “0xD27” kezdetű címére utalta az áldozat tárcájának tartalmát.
If anyone bought one of my stolen apes,mutants and doodle, pls contact me!!! Thx you all, guys!!!! pic.twitter.com/cXxqDQEO2s
— larrylawliet.eth (@iloveponzi) February 1, 2022
Amikor valaki megerősít, aláír egy tranzakciót a szoftveres tárcájával, akkor nem mindig világos, hogy épp milyen engedélyeket ad és kinek. Az esetünkben az áldozat azt hitte, hogy a minteléshez szükséges tranzakciókat engedélyezi, miközben egészen másról volt szó.
A MetaMask-ban már van egy beépített funkció ezek kivédésére: a “Details” fül alatt meg tudod nézni, hogy kinek milyen jogokat adsz a megerősítésekkel. Érdemes ezeket átnézni, még akkor is, amikor látszólag megbízható helyről jön egy lehetőség, amivel gyorsan szeretnél élni. Ha extra biztonságra törekszel, használj mindig egy új címet az ilyen tranzakciókhoz, amin csak a jutalékok kifizetésére elég kriptopénzt tartasz.
/theblock/
