OpenSea Kullanıcıları Kimlik Avı Saldırısında 2 Milyon Dolar Değerinde NFT Kaybetti
Fungible olmayan belirteç (NFT) pazarı OpenSea, 17 kullanıcısını yaklaşık 2 milyon dolar değerinde 250'den fazla NFT'siz bırakan bir kimlik avı saldırısını araştırıyor.
NFT'ler, dijital dosyaların, tipik olarak sanat eserinin medya dosyalarının sahipliğini beyan eden, bu durumda Ethereum olan bir blok zincirinde depolanan verileri temsil eder.
Şu anda değeri 13,3 milyar dolar olan ve dünyanın en büyüklerinden biri olarak kabul edilen OpenSea, aynı zamanda nadir dijital öğelerin ve kripto koleksiyonlarının ticaretini de sağlayan eşler arası bir NFT pazarıdır.
Bir geçişten yararlanma
Kimlik avı aktörleri her zaman kullanıcıların harekete geçmesini gerektiren değişikliklerden yararlanmanın yollarını arar ve OpenSea NFT hırsızlığı da farklı değildir.
Check Point'teki araştırmacılar bugün bir raporda, kimlik avı aktörlerinin OpenSea'nin platformdaki eski ve etkin olmayan listeleri temizlemek için akıllı sözleşme sistemini yükselttiğini ve kendi e-postaları ve web siteleriyle geçiş için hazırlandıklarını bildiklerini söylüyor.
OpenSea, kullanıcılarına, platformu kullanmaya devam etmek istiyorlarsa 18 - 25 Şubat tarihleri arasında listelerini güncellemeleri gerektiğini bildirdi.
Bu süreçte onlara yardımcı olmak için platform, tüm kullanıcılara listelerin taşınmasının nasıl onaylanacağına ilişkin talimatlar içeren e-postalar gönderdi.
Kimlik avı aktörleri bu süreçten yararlandı ve mesajı OpenSea'den doğrulanmış kullanıcılara göndermek için kendi e-posta adreslerini kullandı ve orijinal onaylarının geçmediğini düşünmeleri için onları kandırdı.
Sahte e-postaya yerleştirilen bağlantı, kurbanların sözde geçişle ilgili bir işlemi imzalamalarının istendiği bir kimlik avı web sitesine işaret ediyordu.
Bunun yerine, işlem, aktörün doğrulanmış parametrelerle bir dizi iletme isteği gerçekleştirmesini sağlayarak NFT sahipliğini saldırgana iletmesine neden oldu.
Check Point'in açıkladığı gibi, aktör, saldırının amaçlandığı gibi çalışacağını doğrulamak için 21 Ocak 2022'de kuru bir geri dönüş bile gerçekleştirdi.
OpenSea'den ödün verilmedi
OpenSea, saldırının platformdaki veya ticaret sistemlerindeki herhangi bir güvenlik açığından yararlanmadığını, bunun yerine yalnızca kimlik avı yoluyla kullanıcıları aldatmaya dayandığını belirtmekte gecikmedi.
Bu nedenle platform, kullanıcılara uyanık kalmalarını ve opensea.io alanına ait olmayan bağlantıları takip etmekten kaçınmalarını tavsiye etti.
Our team has been working around the clock to investigate the specific details of this phishing attack. While we haven’t yet determined the exact source, we wanted to share a couple of EOD updates:
🧵
— OpenSea (@opensea) February 21, 2022
Ayrıca, kimlik avı e-postalarının platformun dışından geldiği ve platformun e-posta dağıtım sisteminin güvenliğinin ihlal edilmediği doğrulandı.
Şu anda, saldırı durmuş gibi görünüyor, dün gerçekleşen en son işlem.
NFT'leri kendinize saklayın
İşlemleri dikkat etmeden imzalamak, başkalarına dijital varlıklarınızın sahipliğini devretme izni verir. Değişim platformundan gelen talepler hariç, diğer tüm işlem talepleri reddedilmelidir.
Bu istekler e-posta yoluyla geliyorsa, herhangi bir işlem yapmadan önce her zaman göndereni doğrulamanız gerekir. Ethereum, belirteç onaylarınızı kontrol etmek ve gerekirse bunları iptal etmek için bir araç sunar.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
