HaberlerNFT Haberleri

OpenSea Saldırısı Milyonlarca Değerinde Çalınan NFT’ye Nasıl Yol Açtı?

Bu önlem, birkaç kimliği belirsiz tehdit aktörünün OpenSea’nin yükseltme sürecinden yararlandığı ve daha sonra milyonlarca NFT kullanıcısını dolandırdığı platformda yakın zamanda yapılan bir istismara yanıt olarak yapıldı. Kesin miktar belirlenmedi, ancak konuyla ilgili çalışan bir tehdit istihbarat araştırma grubu olan Check Point Research, hasarın 3 milyon doların üzerinde olduğunu tahmin ediyor.

Check Point Research tarafından yapılan istismar sonrası analize göre, tehdit aktörleri OpenSea’den gelen aynı e-postayı kullanarak ve bunu habersiz kullanıcılara yeniden göndererek yükseltme sürecinden yararlandı. Önceki OpenSea sözleşmesiyle ilgili ayrıntılar, atomicMatch isteğinin bu adrese gönderildiğini ve daha sonra Fake_Phishing baş harfiyle diğer benzer adresler arasında aktarıldığını ortaya koyuyor. OpenSea, NFT işlem platformunda işlemler için minimum güven sağlamak için atomicMatch istek parametresini kullanır. Atomik bir transfer, yalnızca bir işlemin tüm koşulları karşılandığında gerçekleşir.

Dikkatinizi Çekebilir: Kanada Polisi Kripto Özgürlüğüne Engel Olmaya Devam Ediyor

Check Point’teki Ürün Güvenlik Açığı Araştırmaları Başkanı Oded Vanunu, NFT işlemlerine nasıl güvenli bir şekilde imza atılacağına dair bazı bilgiler ve tavsiyeler paylaşıyor:

“Ne yapmalısınız? Birçok web sitesi ve proje, size imzalamanız için bir işlem göndererek NFT’lerinize kalıcı bir erişim talep eder. Bu işlem, işlemi onaylamadığınız sürece web sitelerine/projelere istedikleri zaman NFT’nize erişmelerini sağlar. işlem, birine tüm NFT’lerinize ve kripto para birimlerinize erişim izni vermeye benzer. Bu nedenle imzalamak çok tehlikelidir. Bir işlemi nerede ve ne zaman imzaladığınıza daha fazla dikkat edin. Kimlik avı e-postaları yanıltıcı olabilir. e-postaları gönderen kim olursa olsun, her zaman aynı bilgileri web sitesi sağlayıcısında bulmaya çalışın.”

Vanunu, saldırının arkasındaki süreci daha da açıklayarak, istismarın aktığı aşağıdaki adımları listeliyor:

  1. Kurban, kimlik avı e-postasındaki kötü amaçlı bir bağlantıya tıklar
  2. Bağlantı, bir kimlik avı web sitesi açar ve kurbandan bir işlem imzalamasını ister.
  3. İşlemi imzalayarak, 0xa2c0946ad444dccf990394c5cbe019a858a945bd’ye (saldırgan sözleşmesi) bir atomicMatch_ isteği gönderilir.
  4. Saldırgan, isteği 0x7be8076f4ea4a4ad08075c2508e481d6c946d12b’de atomicMath’e iletir (OpenSea sözleşmesi)
  5. OpenSea Sözleşmesi, anlaşmanın tüm parametrelerini doğrular ve işlemi gerçekleştirir çünkü her şey kurban tarafından imzalanır ve onaylanır.
  6. OpenSea sözleşmesi, NFT sözleşmeleri ile iletişim kurar ve NFT’yi atomicMatch parametrelerine göre kurbandan saldırgana aktarır.
atomicMatch_ imzasından nasıl yararlanılır?
atomicMatch_ imzasından nasıl yararlanılır?

Check Point Research’e göre, tehdit aktörü, saldırı için ortamı test etmek ve simüle etmek için kuru bir çalışma yürütmeye bile devam ediyor. Tehdit aktörü aynı süreci yürütür ve OpenSea’nin kendisine yapılan saldırıyı doğrular.

OpenSea’ye göre, istismarın kapsamını azaltmak ve azaltmak için zaten sözleşme geçişi uyguluyorlar. Bu strateji, daha önceki zamanlarda basılan NFT’ler için etkin olmayan listeleme sorununu ele almayı amaçlamaktadır. Sözleşme geçişiyle birlikte, platformda NFT’lerini satmak üzere olan veya halihazırda satmakta olan tüm OpenSea kullanıcılarının, listelerini Ethereum blok zincirinde yeni bir akıllı sözleşmeye iletmeleri gerekecektir. OpenSea’s, geçişin güvenli bir şekilde nasıl yapılacağına dair bir kılavuz yayınladı.

Son dakika gelişmelerinden haberdar olmak için CoinFili.com’u Twitter‘da takip edin.

Sorumluluk Reddi: Bu makale yalnızca bilgilendirme amaçlıdır. Hukuki, vergi, yatırım, finansal veya diğer tavsiyeler olarak sunulmamıştır veya kullanılması amaçlanmamıştır.
Coinfili.com herhangi bir kripto para biriminin veya dijital varlığın satın alınmasını veya satılmasını önermez veya Coinfili.com bir yatırım danışmanı değildir. Bu nedenle Coinfili.com ve sitede yer alan makalelerin yazarları yatırım kararlarınızdan sorumlu tutulamaz. Okuyucular, bu yazıdaki şirket, varlık veya hizmetler ile ilgili herhangi bir işlem yapmadan önce kendi araştırmalarını yapmalıdır.
Uyarı: Coinfili.com’a ait haber içeriklerinden kaynak gösterilip, link verilerek alıntı yapılması Coinfili.com’un iznine tabiidir. Sitedeki hiçbir içerik izinsiz olarak kopyalanamaz, çoğaltılamaz veya herhangi bir platformda yayımlanamaz. Coinfili.com’a ait kod, tasarım, yazı, grafik ve diğer tüm içerikleri fikri mülkiyet hukuku ve ilgili mevzuatlara aykırı biçimde kullananlar hakkında yasal işlem başlatılacaktır.

Eyüp Can

Kripto Para Araştırmacısı Analisti , Blockchain destekçisi kendi analizlerimi ve Araştırmalarımı paylaşmaktayım. Yaptığım Analizler Yatırım Tavsiyesi değildir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu