Kevin Rose, der Mitbegründer der nicht fungiblen Token (NFT)-Sammlung Moonbirds, wurde Opfer eines Phishing-Betrugs, der dazu führte, dass seine persönlichen NFTs im Wert von mehr als 1,1 Millionen Dollar gestohlen wurden.
Der NFT-Schöpfer und PROOF-Mitbegründer teilte die Neuigkeiten am 25. Januar mit seinen 1,6 Millionen Twitter-Followern und bat sie, den Kauf von Squiggles-NFTs zu vermeiden, bis sie es schaffen, sie als gestohlen zu kennzeichnen.
Ich wurde gerade gehackt, bleiben Sie dran für Details – bitte vermeiden Sie den Kauf von Schnörkeln, bis wir sie markiert haben (gerade verloren 25) + ein paar andere NFTs (ein Autoglyph) …
— KΞVIN R◎SE (,) (@kevinrose) 25. Januar 2023
„Danke für all die freundlichen, unterstützenden Worte. Vollständige Nachbesprechung kommt“, sagte er dann geteilt in einem separaten Tweet etwa zwei Stunden später.
Es wird davon ausgegangen, dass Roses NFTs geleert wurden, nachdem sie eine böswillige Signatur unterzeichnet hatten, die einen erheblichen Teil seines NFT-Vermögens an den Exploiter übertrug.
GM – was für ein Tag!
Heute wurde ich gephisht. Morgen werden wir alle Details als Warnhinweis live auf Twitter-Bereichen behandeln. So lief es technisch ab: https://t.co/DgBKF8qVBK— KΞVIN R◎SE (,) (@kevinrose) 25. Januar 2023
Ein Unabhängiger Analyse von Arkham fand heraus, dass der Exploiter mindestens ein Autoglyph (345 ETH), 25 Art Blocks – auch bekannt als Chromie Squiggle – (332,5 ETH) und neun OnChainMonkey-Elemente (7,2 ETH) extrahierte.
Insgesamt wurden mindestens 684,7 ETH (1,1 Millionen Dollar) extrahiert.
Wie Kevin Rose ausgenutzt wurde
Während mehrere unabhängige On-Chain-Analysen geteilt wurden, erklärte der Vizepräsident von PROOF – dem Unternehmen hinter Moonbirds – Arran Schlosberg seinen 9.500 Twitter-Followern, dass Rose „durch Phishing dazu gebracht wurde, eine bösartige Signatur zu unterzeichnen“, die es dem Exploiter ermöglichte, eine große Anzahl zu übertragen von Token:
1/ Dies war ein klassisches Stück Social Engineering, das KRO ein falsches Gefühl der Sicherheit vermittelte. Der technische Aspekt des Hacks beschränkte sich auf das Herstellen von Signaturen, die vom Marktplatzvertrag von OpenSea akzeptiert wurden.
— Arran (@divergencearran) 25. Januar 2023
Der Kryptoanalyst „foobar“ ging in einem separaten Beitrag vom 25. Januar weiter auf den „technischen Aspekt des Hacks“ ein und erklärte, dass Rose einen OpenSea-Marktplatzvertrag genehmigt habe, um alle seine NFTs zu verschieben, wenn Rose Transaktionen unterzeichnete.
Er fügte hinzu, dass Rose immer „eine böswillige Signatur“ von einem Exploit entfernt sei:
Seien Sie sehr vorsichtig, wenn Sie irgendetwas signieren, sogar Offchain-Signaturen. Kevin Rose hatte gerade NFTs im Wert von ~2 Millionen Dollar aus seinem Tresorraum abgezogen, weil er ein böswilliges Seehafenpaket unterzeichnet hatte. Zum Glück hielten sich ein paar Dinge zurück, wie der Punk-Zombie (1000 ETH), der nicht auf OS gehandelt werden kann pic.twitter.com/GXHR3NQHLf
— foobar (@0xfoobar) 25. Januar 2023
Der Kryptoanalytiker sagte, Rose hätte stattdessen seine NFT-Vermögenswerte in einem separaten Wallet „isolieren“ sollen:
„Das Verschieben von Vermögenswerten aus Ihrem Tresor in ein separates „Verkaufs“-Wallet vor der Notierung auf NFT-Marktplätzen wird dies verhindern.“
Ein anderer On-Chain-Analyst, „Quit“, teilte seinen 71.400 Twitter-Followern mit, dass die böswillige Signatur durch den Seaport-Marktplatzvertrag ermöglicht wurde – die Plattform, die OpenSea antreibt:
Kevin Rose hat gerade über 2 Millionen Dollar an Vermögenswerten verloren, indem er eine Off-Chain-Signatur unterzeichnete, die eine Auflistung für alle seine von OpenSea genehmigten Vermögenswerte auf einmal erstellte.
Obwohl Seehafen ein mächtiges Werkzeug ist, kann es auch gefährlich sein, wenn Sie nicht wissen, wie es funktioniert.
Ein bisschen Kontext 1/
— beende (@0xQuit) 25. Januar 2023
Quit erklärte, dass die Exploiter in der Lage waren, eine Phishing-Site einzurichten, die in der Lage war, die NFT-Assets in Roses Wallet anzuzeigen.
Der Verwerter hat dann einen Auftrag für alle Assets von Rose erstellt, die auf OpenSea genehmigt wurden, um dann an den Verwerter übertragen zu werden.
Rose validierte dann die böswillige Transaktion, bemerkte Quit.
Verwandt: Das Bluechip-NFT-Projekt Moonbirds unterschreibt bei der Hollywood-Talentagentur UTA
Unterdessen stellte foobar fest, dass die meisten gestohlenen Vermögenswerte weit über dem Mindestpreis lagen, was bedeutet, dass der gestohlene Betrag bis zu 2 Millionen US-Dollar betragen könnte.
Quit forderte, dass OpenSea-Benutzer vor jeder anderen Website „weglaufen müssen“, die Benutzer dazu auffordert, etwas zu unterschreiben, das verdächtig aussieht.
NFTs in Bewegung
Der On-Chain-Analyst „ZachXBT“ teilte seinen 350.300 Twitter-Followern eine Transaktionskarte mit, aus der hervorgeht, dass der Exploiter die Vermögenswerte an FixedFloat gesendet hat – eine Kryptowährungsbörse im Bitcoin-Layer-2 „Lightning Network“.
Der Exploiter überwies dann die Gelder in Bitcoin (BTC) und bevor er die BTC in einen Bitcoin-Mixer einzahlte:
Vor drei Stunden wurde Kevin für NFTs im Wert von über 1,4 Millionen Dollar gephisht. Heute früh hat derselbe Betrüger 75 ETH von einem anderen Opfer gestohlen.
Wenn wir dies aufzeichnen, können wir einen klaren Trend erkennen, die gestohlenen Gelder an FixedFloat zu senden und gegen BTC zu tauschen, bevor sie in einen Bitcoin-Mixer eingezahlt werden. https://t.co/2yrFpfYttT pic.twitter.com/ZlywPYydwx
— ZachXBT (@zachxbt) 25. Januar 2023
Das Krypto-Twitter-Mitglied „Degentraland“ sagte seinen 67.000 Twitter-Followern, dass dies das „Traurigste“ sei, das sie bisher im Kryptowährungsraum gesehen hätten, und fügte hinzu, dass, wenn jemand von einem so verheerenden Exploit zurückkommen könne, „er es“ sei:
Das Traurigste, was ich bisher in Krypto gesehen habe.@kevinrose Brieftasche entleert.
Wenn jemand davon zurückkommen kann, dann er. pic.twitter.com/HZysg34qji
— Degentraland (@Degentraland) 25. Januar 2023
Unterdessen war Bankless-Gründer Ryan Sean Adams wütend über die Leichtigkeit, mit der Rose ausgenutzt werden konnte. Am 25. Januar twittern, Adams forderte die Front-End-Ingenieure auf, ihr Spiel aufzugreifen und die Benutzererfahrung (UX) zu verbessern, um zu verhindern, dass solche Betrügereien stattfinden.