Nonfungible token (NFT)-marknadsplatsen OpenSea drabbades av ett serverintrång på sin huvudsakliga Discord-kanal, med hackare som publicerade falska "Youtube-partnerskap"-meddelanden.
En skärmdump delas Fredag visar falska samarbetsnyheter, åtföljda av en länk till en nätfiskesida. OpenSea Supports officiella Twitter-konto twittrade att marknadsplatsens Discord-server bröts fredag morgon och varnade användare att inte klicka på länkar i kanalen.
Klicka inte på länkar i vår Discord.
Vi fortsätter att undersöka denna situation och kommer att dela information när vi har den. https://t.co/jgtHcXifer
— OpenSea Support (@opensea_support) Maj 6, 2022
Hackarens första inlägg, publicerat i tillkännagivandekanalen, hävdade att OpenSea hade "samarbetat med YouTube för att få in deras community i NFT Space." Det stod också att de skulle c-släppa ett myntpass med OpenSea som skulle tillåta innehavare att skapa sitt projekt gratis.
Det verkar som om inkräktaren kunde stanna på servern under en avsevärd tid innan OpenSea-personalen kunde återta kontrollen. I ett försök att ingjuta "rädsla för att missa" hos offren, publicerade hackaren uppföljningar av det första bedrägliga meddelandet, återhämtade den falska länken och hävdade att 70 % av utbudet redan hade präglats.
Bedragaren försökte också locka OpenSea-användare genom att säga att YouTube skulle tillhandahålla "vansinniga verktyg" till dem som gjorde anspråk på NFT. De hävdar att detta erbjudande är unikt och att det inte skulle finnas några fler rundor att delta, vilket är typiskt för bedragare.
officiellt meddelande från grundarna
Doodles discord penetrerades av en hackad bot. Alla meddelanden som läggs ut i någon av våra kanaler, ignorera för tillfället. Vi håller på. Våra advokater, oeniga vänner och samhället hjälper oss. Vi kommer att uppdatera dig när vi diagnostiserar situationen.
— doodles (@doodles) Februari 26, 2022
Kedjedata visar 13 plånböcker som verkar ha blivit äventyrade när de skrevs, där den mest värdefulla stulna NFT var ett Founders' Pass värt cirka 3.33 ETH eller $8,982.58 XNUMX.
Inledande rapporter föreslå att inkräktaren använde webhooks för att komma åt serverkontroller. En webhook är ett serverplugin som gör att annan programvara kan ta emot information i realtid. Webhooks har använts alltmer som en attackvektor av hackare eftersom de ger möjlighet att skicka meddelanden från officiella serverkonton.
Relaterat: phishing-bedrägerier med ap-tema ökar, varnar experter
OpenSea Discord är inte den enda servern som kan utnyttjas via webhooks. Flera framstående NFT-samlingars kanaler, bl.a Bored Ape Yacht Club, Doodles och KaijuKings, komprometterades i början av april med en liknande sårbarhet som gjorde det möjligt för hackaren att använda officiella serverkonton för att lägga upp nätfiske-länkar.
Källa: https://cointelegraph.com/news/opensea-discord-server-hacked-users-warned-to-be-vigilant-of-phishing-scams