Последняя атака OpenSea видит проникновение хакера в Discord

Сервер OpenSea Discord был взломан рано утром в пятницу. Серия сообщений от скомпрометированного бота сервера OpenSea Discord предлагала пользователям создать «YouTube Genesis Mint Pass» по фишинговой ссылке. 

Сервер OpenSea Discord взломан

Discord крупнейшего маркетплейса NFT был взломан.

A Tweet из официальной службы поддержки OpenSea в Твиттере подтвердили, что в пятницу утром на сервере Discord торговой площадки была обнаружена уязвимость.

В первом сообщении хакера, появившемся на канале объявлений в 4:04 утра по всемирному координированному времени, говорилось, что OpenSea «сотрудничала с YouTube, чтобы привлечь свое сообщество в пространство NFT». Далее в сообщении говорилось, что партнерство будет включать выпуск 100 «YouTube Genesis Mint Passes», которые позволят владельцам бесплатно создавать совместные проекты. Пост заканчивался ссылкой на поддельный веб-сайт минтинга, предназначенный для того, чтобы обманом заставить пользователей подписать транзакцию, которая даст хакеру возможность перевести NFT из своего кошелька.

Похоже, что хакеру удалось сохранить свое присутствие на сервере в течение некоторого времени, прежде чем сотрудники OpenSea смогли восстановить контроль. Хакеру удалось опубликовать продолжение первоначального фальшивого объявления, повторно опубликовав фальшивую ссылку и заявив, что 70% предложения уже отчеканено, в попытке вызвать «страх пропустить» у ничего не подозревающих пользователей. 

Данные по цепочке от Etherscan показывает, что потери от взлома в настоящее время невелики. В общей сложности, пока что пострадали только шесть кошельков, причем самым ценным украденным NFT был ConiunPass с рыночная стоимость около 0.84 ETH или 2,300 долларов США. 

Ранние сообщения предполагают, что хакер использовал веб-хуки сервера OpenSea Discord, чтобы получить доступ к элементам управления сервером. Веб-перехватчик — это серверный плагин, который предоставляет другим приложениям данные в реальном времени. Хотя веб-хуки выполняют полезную функцию, они все чаще используются хакерами в качестве вектора атаки, поскольку позволяют отправлять сообщения пользователям с официальных учетных записей серверов. 

Сервер OpenSea Discord — не единственный, который недавно стал жертвой атаки веб-перехватчиков. В начале апреля Discords нескольких известных коллекций NFT, включая Bored Ape Yacht Club, Doodles и KaijuKings, были отключены. скомпрометированный используя аналогичный эксплойт, позволяющий хакеру публиковать фишинговые ссылки, используя официальные учетные записи сервера. 

Эта история выходит из строя и будет обновляться по мере поступления дополнительной информации. 

Отдельное спасибо HttpPwnHub за идентификацию хакерского кошелька. 

Раскрытие информации: на момент написания этой статьи автор владел ETH и несколькими другими криптовалютами.