OpenSea: Neue Betrugsmasche erleichtert Nutzer um ihre NFT
Das Wichtigste in Kürze
- Phishing-Seiten gaukeln Auktionsfunktion als Login-Möglichkeit vor
- Nutzer werden dabei um ihre NFT erleichtert
- Weitere Betrugsmethode „Ice Phishing“ zielt auf Web3-Nutzer ab
Mit der zunehmenden Beliebtheit von Non-Fungible Token (NFT) sind bösartige Akteure immer aktiver geworden, die ständig versuchen, Nutzer in diesem Bereich auszunutzen.
Jetzt bedroht ein neuer Hack, der eine Funktion des NFT-Marktplatzes OpenSea betrifft, NFT-Besitzer über Phishing-Seiten.
In einer Ankündigung warnte das Anti-Diebstahl-Projekt Harpie die NFT-Nutzer vor einem neuen Hack, der den Verkauf ohne Gasgebühren auf der OpenSea-Plattform betrifft.
Nach Angaben von Harpie konnten Hacker unter Ausnutzung dieser Funktion digitale Vermögenswerte in Millionenhöhe erbeuten.
Wenn Nutzer auf der OpenSea-Plattform Verkäufe ohne Gasgebühren tätigen wollen, müssen sie eine Signaturanforderung mit einer nicht lesbaren Nachricht genehmigen.
Mit dieser Funktion können Benutzer auch private Auktionen mit nicht lesbaren Signaturen erstellen.
Hackers have been able to steal NFTs like magic with a little-known OpenSea feature. It’s the newest hack, and multiple millions in Apes have been lost to it already.
(🧵1/4) pic.twitter.com/fTK20WQrgh
— Harpie (@harpieio) December 22, 2022
Phishing-Websites nutzen Schwachstelle aus
Daher haben Phishing-Websites diese Funktion genutzt, um ihre Opfer aufzufordern, eine dieser nicht lesbaren Nachrichten zu unterschreiben.
Harpie zufolge geben die Signaturen oft vor, dass man sich einloggen und auf die Website zugreifen muss.
In Wirklichkeit handelt es sich bei den Login-Nachrichten jedoch um eine Aufforderung zur Unterschrift, um einen privaten Verkauf der NFTs des Opfers an den Betrüger für 0 Ether ETH.
Nach der Signierung werden die NFTs an die Wallet-Adresse des Hackers gesendet.
„Ice Phishing“ eine weitere Betrugsmasche
Abgesehen von diesem Betrug hat das Blockchain-Sicherheitsunternehmen CertiK kürzlich eine Warnung an die Krypto-Community herausgegeben, die sich auf das sogenannte „Ice Phishing“ bezieht.
Mit dieser Masche bringen Betrüger Web3-Nutzer dazu, Genehmigungen zu unterschreiben, die es den Angreifern ermöglichen, ihre Token auszugeben. CertiK stellte fest, dass dieser Betrug eine erhebliche Bedrohung darstellt und nur in der Web3-Welt vorkommt.
Bereits am 17. Dezember berichtete ein Analyst, wie ein Betrüger die Gasgebühren-freie Seaport-Signaturfunktion nutzte, um angeblich 14 Bored Ape NFTs zu stehlen.
Nach einem gründlichen Social Engineering leitete der Hacker das Opfer auf eine gefälschte NFT-Plattform und forderte den Inhaber auf, einen Vertrag zu unterzeichnen. Daraufhin wurde die Wallet des Opfers geleert.