Skip to main content

Quelle: Сointеlеgrаph

Kevin Rose, der Mitbegründer der nicht fungiblen Token (NFT)-Sammlung Moonbirds, wurde Opfer eines Phishing-Betrugs, der dazu führte, dass seine persönlichen NFTs im Wert von mehr als 1,1 Millionen Dollar gestohlen wurden.

Der NFT-Schöpfer und PROOF-Mitbegründer teilte die Neuigkeiten am 25. Januar mit seinen 1,6 Millionen Twitter-Followern und bat sie, den Kauf von Squiggles-NFTs zu vermeiden, bis sie es schaffen, sie als gestohlen zu kennzeichnen.

„Danke für all die freundlichen, unterstützenden Worte. Vollständige Nachbesprechung kommt“, teilte er dann etwa zwei Stunden später in einem separaten Tweet mit.

Es wird davon ausgegangen, dass Roses NFTs geleert wurden, nachdem sie eine böswillige Signatur unterzeichnet hatten, die einen erheblichen Teil seines NFT-Vermögens an den Exploiter übertrug.

Eine unabhängige Analyse von Arkham ergab, dass der Exploiter mindestens ein Autoglyph (345 ETH), 25 Art Blocks – auch bekannt als Chromie Squiggle – (332,5 ETH) und neun OnChainMonkey-Elemente (7,2 ETH) extrahiert hat.

Insgesamt wurden mindestens 684,7 ETH (1,1 Millionen Dollar) extrahiert.

Wie Kevin Rose ausgenutzt wurde

Während mehrere unabhängige On-Chain-Analysen geteilt wurden, erklärte der Vizepräsident von PROOF – dem Unternehmen hinter Moonbirds – Arran Schlosberg seinen 9.500 Twitter-Followern, dass Rose „durch Phishing dazu gebracht wurde, eine bösartige Signatur zu unterzeichnen“, die es dem Exploiter ermöglichte, eine große Anzahl zu übertragen von Token:

Der Kryptoanalyst „foobar“ ging in einem separaten Beitrag vom 25. Januar weiter auf den „technischen Aspekt des Hacks“ ein und erklärte, dass Rose einen OpenSea-Marktplatzvertrag genehmigt habe, um alle seine NFTs zu verschieben, wenn Rose Transaktionen unterzeichnete.

Er fügte hinzu, dass Rose immer „eine böswillige Signatur“ von einem Exploit entfernt sei:

Der Kryptoanalytiker sagte, Rose hätte stattdessen seine NFT-Vermögenswerte in einem separaten Wallet „isolieren“ sollen:

„Das Verschieben von Vermögenswerten aus Ihrem Tresor in ein separates „Verkaufs“-Wallet vor der Notierung auf NFT-Marktplätzen wird dies verhindern.“

Ein anderer On-Chain-Analyst, „Quit“, teilte seinen 71.400 Twitter-Followern mit, dass die böswillige Signatur durch den Seaport-Marktplatzvertrag ermöglicht wurde – die Plattform, die OpenSea antreibt:

Quit erklärte, dass die Exploiter in der Lage waren, eine Phishing-Site einzurichten, die in der Lage war, die NFT-Assets in Roses Wallet anzuzeigen.

Der Verwerter hat dann einen Auftrag für alle Assets von Rose erstellt, die auf OpenSea genehmigt wurden, um dann an den Verwerter übertragen zu werden.

Rose validierte dann die böswillige Transaktion, bemerkte Quit.

Siehe auch: Bluechip NFT-Projekt Moonbirds unterschreibt bei Hollywood-Talentagenten UTA

Unterdessen stellte foobar fest, dass die meisten gestohlenen Vermögenswerte weit über dem Mindestpreis lagen, was bedeutet, dass der gestohlene Betrag bis zu 2 Millionen US-Dollar betragen könnte.

Quit forderte, dass OpenSea-Benutzer vor jeder anderen Website „weglaufen müssen“, die Benutzer dazu auffordert, etwas zu unterschreiben, das verdächtig aussieht.

NFTs in Bewegung

Der On-Chain-Analyst „ZachXBT“ teilte seinen 350.300 Twitter-Followern eine Transaktionskarte mit, aus der hervorgeht, dass der Exploiter die Vermögenswerte an FixedFloat gesendet hat – eine Kryptowährungsbörse im Bitcoin-Layer-2 „Lightning Network“.

Der Exploiter überwies dann die Gelder in Bitcoin (BTC) und bevor er die BTC in einen Bitcoin-Mixer einzahlte:

Das Krypto-Twitter-Mitglied „Degentraland“ sagte seinen 67.000 Twitter-Followern, dass dies das „Traurigste“ sei, das sie bisher im Kryptowährungsraum gesehen hätten, und fügte hinzu, dass, wenn jemand von einem so verheerenden Exploit zurückkommen könne, „er es“ sei:

Unterdessen war Bankless-Gründer Ryan Sean Adams wütend über die Leichtigkeit, mit der Rose ausgenutzt werden konnte. In dem Tweet vom 25. Januar forderte Adams die Front-End-Ingenieure auf, ihr Spiel aufzunehmen und die Benutzererfahrung (UX) zu verbessern, um solche Betrügereien zu verhindern.


Quelle: Сointеlеgrаph

Leave a Reply