El popular servicio de listas blancas de NFT, Premint, se vio comprometido recientemente. Esto resultó en el robo de $ 400K de NFT en varias colecciones.
Web3 puede ser una frontera riesgosa que requiere una mentalidad de alta seguridad para sobrevivir, como usuarios del servicio de listas blancas de NFT, prementado, aprendió por las malas cuando un enlace de inicio de sesión malicioso (pero sospechoso) robó sus NFT. Debido a que es imposible robar tokens de cadena de bloques directamente de una billetera criptográfica, un hacker/estafador inteligente debe usar ataques de phishing y la ignorancia del usuario para robar tokens. Los usuarios pueden evitar los ataques de phishing practicando la seguridad operativa de Web3 (o “seg op“), y siendo escéptico y cuidadoso cuando se le solicite enviar transacciones.
Las colecciones de tokens no fungibles (NFT) son una forma efectiva para que un nuevo proyecto o persona influyente obtenga capital de inversores y fanáticos mientras construye una comunidad. Esto a menudo implica un “pre-menta” fase en la que las personas se inscriben en un sorteo para estar entre la primera ola de compradores/destinatarios, y a menudo se crean bots para aumentar injustamente las probabilidades de ganar uno o más lugares. Premint es un NFT “lista blanca” servicio donde los creadores pueden establecer criterios personalizados para verificar (“lista blanca“) billeteras que pueden participar en la pre-moneda (es decir, que requieren verificación de redes sociales, tener un saldo suficiente de criptomonedas y/o poseer otro NFT), y los coleccionistas tienen un tablero que informa qué pre-mint han ganado. Sin embargo, a diferencia de los mercados de NFT como OpenSea, Premint nunca toma la custodia ni facilita la transferencia de NFT, y no requiere el envío de transacciones para su uso.
De acuerdo a criptopizarra, Aproximadamente $ 400,000 de los NFT de los usuarios fueron robados de sus billeteras por un enlace de inicio de sesión malicioso en el sitio web de Premint el 17 de julio. Publicación oficial de Twitter de Premint reclamación (es un tercero desconocido manipuló el archivo del sitio web, que luego presentó un mensaje de conexión de billetera malicioso. La autenticación con una billetera es normal para los inicios de sesión de Web3, pero en su lugar, el aviso inició una transacción sospechosa. Si bien todas las víctimas tuvieron la oportunidad de rechazar la transacción, aquellos que la confirmaron le dieron permiso total al contrato inteligente del atacante para transferir todos los tokens a través de muchas colecciones de NFT a las billeteras del atacante, lo que resultó en más de $ 400,000 en NFT robados.
Anoche, un tercero desconocido manipuló un archivo en PREMINT, lo que provocó que a los usuarios se les presentara una conexión de billetera que era maliciosa.
— PREIMENTA | Herramienta de lista de acceso NFT (@PREMINT_NFT) 17 de julio de 2022
OpSec es crítico para Web3
En el mundo de Web3, blockchain y el Metaverse descentralizado, los usuarios deben practicar algo de opSec junto con un sano escepticismo. Las transacciones maliciosas pueden ser imposibles de diferenciar de las benévolas, y el uso de “quemador carteras” se recomienda encarecidamente mitigar los daños si/cuando una transacción de este tipo se confirma accidentalmente. En este sistema de billetera dual, la billetera desechable actúa como una cuenta desechable que envía transacciones, recopila lanzamientos aéreos de tokens, prueba nuevas aplicaciones Web3 por primera vez y transfiere todos los tokens no esenciales que recibe a la billetera principal. A cambio, la billetera principal actúa como una cuenta de ahorros o de depósito seguro y rara vez interactúa con las aplicaciones Web3. Esta práctica reduce enormemente las oportunidades de ataques de phishing para robar tokens.
Todavía está por verse qué sucederá con los NFT robados, pero a menos que se devuelvan a sus propietarios, ahora son bienes del mercado negro con valor dañado, y habiendo sido reportados como robados, no se pueden vender en OpenSea por su precio completo hasta que han sido devueltos. El hacker tendrá que confiar en los mercados NFT descentralizados para vender los tokens robados, con la esperanza de que quien los compre no verifique primero el historial de propiedad de los tokens. Con suerte, las víctimas recibirán una compensación por sus pérdidas, otros usuarios y proyectos tomarán nota para el futuro, y prementado puede determinar qué sucedió y proporcionar una explicación de cómo un tercero obtuvo acceso a su base de código de producción.
Fuente: CryptoSlate, @PREMINT_NFT/Twitter