不可替代令牌(NFT) 市場OpenSea 在其主要Discord 頻道上遭遇服務器漏洞,黑客發布了虛假的“Youtube 合作夥伴關係”公告。
截圖 共享 週五顯示虛假合作新聞,並附有釣魚網站的鏈接。 OpenSea Support 的官方Twitter 帳戶在推特上表示,該市場的Discord 服務器於週五早上遭到入侵,並警告用戶不要點擊該頻道。
不要點擊我們Discord 中的鏈接。
我們正在繼續調查這種情況,並將在我們掌握的情況下分享信息。 https://t.co/jgtHcXifer
— OpenSea 支持(@opensea_support) 2022 年5 月6 日
黑客在公告頻道上發布的最初帖子聲稱,OpenSea 已“與YouTube 合作,將他們的社區帶入NFT 空間。”它還表示,OpenSea 正在與他們一起發布一個鑄幣通行證,允許持有者為他們的項目鑄幣。自由。
在OpenSea 工作人員能夠重新獲得控制權之前,入侵者似乎能夠在服務器上停留相當長的時間。為了讓受害者“害怕錯過”,黑客成功地重新發布了最初欺詐公告的後續內容,重新散列虛假鏈接,並聲稱70% 的供應已經被鑄造。
騙子還試圖引誘OpenSea 用戶,聲稱YouTube 會為那些聲稱擁有NFT 的人提供“瘋狂的實用程序”。他們聲稱此優惠是獨一無二的,並且不會有更多輪次參與,這是欺詐者的典型特徵。
創始人的官方信息
Doodles discord 被一個被黑的機器人侵入。在我們的任何頻道中發布的任何消息,暫時忽略。我們正在努力。我們的律師、discord 的朋友和社區正在幫助我們。我們會在診斷情況時更新您的信息。
— 塗鴉(@doodles) 2022 年2 月26 日
鏈上 數據 顯示在撰寫本文時似乎有13 個錢包被盜,其中最有價值的NFT 是價值約3.33 ETH 或8,982.58 美元的Founders’ Pass。
最初的 報告 建議入侵者使用webhook 訪問服務器控件。 webhook 是一個服務器插件,允許其他軟件接收實時信息。 Webhook 越來越多地被黑客用作攻擊媒介,因為它們提供了從官方服務器帳戶發送消息的能力。
有關的: 專家警告稱,以猿為主題的空投網絡釣魚詐騙呈上升趨勢
OpenSea Discord 不是唯一通過webhook 被利用的服務器。幾個著名的NFT 收藏頻道,包括 無聊猿遊艇俱樂部、Doodles 和KaijuKings 於4 月初受到類似漏洞的攻擊,該漏洞允許黑客使用官方服務器帳戶發佈網絡釣魚鏈接。