Nonfungible token (NFT) շուկան OpenSea-ն տուժել է սերվերի խախտում իր հիմնական Discord ալիքում, ընդ որում հաքերները տեղադրել են կեղծ «Youtube գործընկերության» հայտարարություններ:
Սքրինշոթ shared Ուրբաթ օրը ցուցադրվում է կեղծ համագործակցության նորություններ, որոնք ուղեկցվում են ֆիշինգի կայքի հղումով: OpenSea Support-ի Twitter-ի պաշտոնական էջը թվիթերում գրեց, որ շուկայի Discord սերվերը խախտվել է ուրբաթ առավոտյան և օգտատերերին զգուշացրել է չկտտացնել ալիքի հղումները:
Մի սեղմեք հղումները մեր Discord-ում:
Մենք շարունակում ենք հետաքննել այս իրավիճակը և կկիսվենք մեր ունեցած տեղեկություններով: https://t.co/jgtHcXifer
— OpenSea աջակցություն (@opensea_support) Թող 6, 2022
Հաքերի սկզբնական գրառման մեջ, որը հրապարակվել է հայտարարությունների ալիքում, ասվում է, որ OpenSea-ն «գործակցել է YouTube-ի հետ՝ իրենց համայնքը NFT տարածություն մտցնելու համար»: Նաև ասվում էր, որ նրանք OpenSea-ի հետ կթողարկեն դրամահատարանի ուղեգիր, որը թույլ կտա սեփականատերերին անվճար ձևակերպել իրենց նախագիծը:
Երևում է, որ ներխուժողը կարողացել է զգալի երկար մնալ սերվերում, մինչև OpenSea-ի աշխատակիցները կարողացել են վերականգնել վերահսկողությունը: Փորձելով զոհերի մեջ «կորցնելու վախ» սերմանել՝ հաքերը վերահաստատել է նախնական կեղծ հայտարարության հետևանքները՝ կրկնելով կեղծ հղումը և պնդելով, որ մատակարարման 70%-ն արդեն արտադրված է:
Խաբեբայը նաև փորձել է գայթակղել OpenSea-ի օգտատերերին՝ հայտարարելով, որ YouTube-ը «խելագար կոմունալ ծառայություններ» կտրամադրի նրանց, ովքեր պնդում են NFT-ները: Նրանք պնդում են, որ այս առաջարկը եզակի է և այլ փուլեր չեն լինի մասնակցելու, ինչը բնորոշ է խարդախներին։
հիմնադիրների պաշտոնական հաղորդագրությունը
Doodles-ի տարաձայնությունները ներթափանցել են կոտրված բոտը: Մեր ալիքներից որևէ մեկում հրապարակված ցանկացած հաղորդագրություն, առայժմ անտեսեք: Մենք դրա վրա ենք: Մեզ օգնում են մեր փաստաբանները, հակասական ընկերները և համայնքը: Մենք ձեզ կտեղեկացնենք, երբ ախտորոշենք իրավիճակը:
— խզբզոցներ (@doodles) Փետրվարի 26, 2022
Շղթայական տվյալներ ցույց է տալիս, 13 դրամապանակ, որոնք կարծես թե վտանգված են եղել գրելու պահին, որոնցից ամենաթանկ գողացված NFT-ը Հիմնադիրների անցաթուղթն է՝ մոտ 3.33 ETH կամ $8,982.58:
Նախնական հաղորդումներ առաջարկել որ ներխուժողը օգտագործել է վեբ-կեռիկներ՝ սերվերի կառավարում մուտք գործելու համար: Webhook-ը սերվերի պլագին է, որը թույլ է տալիս այլ ծրագրերին իրական ժամանակում տեղեկատվություն ստանալ: Webhook-ներն ավելի ու ավելի են օգտագործվում որպես հաքերների կողմից հարձակման վեկտոր, քանի որ դրանք ապահովում են պաշտոնական սերվերի հաշիվներից հաղորդագրություններ ուղարկելու հնարավորություն:
Related: Մասնագետները զգուշացնում են, որ կապիկների թեմայով airdrop ֆիշինգի խարդախությունները աճում են
OpenSea Discord-ը միակ սերվերը չէ, որը կարող է շահագործվել webhooks-ի միջոցով: Մի քանի նշանավոր NFT հավաքածուների ալիքներ, այդ թվում Bored Ape զբոսանավ ակումբDoodles-ը և KaijuKings-ը վտանգի ենթարկվեցին ապրիլի սկզբին նմանատիպ խոցելիությամբ, որը թույլ տվեց հաքերին օգտագործել պաշտոնական սերվերի հաշիվները՝ ֆիշինգ հղումներ տեղադրելու համար:
Աղբյուր՝ https://cointelegraph.com/news/opensea-discord-server-hacked-users-warned-to-be-vigilant-of-phishing-scams