13:53 1400/7/26
597
شرکت بیتبانهک OpenSea بزرگترین بازار ان اف تی NFT
هکرها با استفاده از آسیبپذیریهای حساسی که در پلتفرم OpenSea وجود داشته، توانستهاند با فریب برخی از کاربران به بهانهی دریافت ان اف تی NFT رایگان یا هدیه، به والت رمزارز آنها دسترسی یافته و تمام حسابشان را خالی کنند.
روش هک ان اف تی
۱. هکر یک ان اف تی NFT مخرب را با عناوینی چون هدیه و جایزه، برای کاربر ارسال میکند. این ان اف تی شامل یک فایل عکس در قالب SVG است.
۲. در صورت پذیرش کاربر، یک پاپ-آپ از دامنهی ذخیرهساز OpenSea مانند storage.opensea.io باز میشود، که از او درخواست میکند برای اتصال به والت رمزارزش کلیک کند.
۳. در صورت کلیک کاربر، هکر به والت وی دسترسی پیدا میکند.
۴. در نهایت هکر با ارسال یک پاپ-آپ دیگر، که از دامنه ذخیرهساز OpenSea ارسال میشود، میتواند کل والت قربانی را خالی کند. گفتنی است که در پاپ-آپ آخر از کاربر پرسیده میشود که آیا با این تراکنش موافق است یا نه، و تنها در صورت توافق کاربر است که حسابش خالی میشود. بنابراین خواندن دقیق این پنجرهها، امری است بسیار ضروری.
نمونهای از یک ان اف تی NFT مخرب
در نمونه زیر میتوانید کاربر و هکر، و تراکنشی که بین آنهاست را مشاهده کنید.
آسیبپذیریهای مذکور، یک ساعت پس از اطلاع یافتن تیم OpenSea، برطرف و وصله شدند.
اما وجود چنین روشهایی برای هک، توجه بسیار بیشتر کاربران را، برای فعالیت در این حوزهها میطلبد.
۱۰ توصیه امنیتی برای جلوگیری از هک ان اف تی و والت
۱. به اخبار پلتفرمهایی که با آنها کار میکنید، تنها در رسانههای اصلیشان توجه و اعتماد کنید.
۲. ریکاوری کدهای خود را به هیچ عنوان در اختیار کسی قرار ندهید و ترجیحا آنها را بر کاغذ یادداشت و در یک جای امن نگهداری کنید.
۳. از معتبر بودن والت خود مطمئن شوید و آن را تنها از طریق منابع معتبر دانلود و نصب نمایید.
۴. به هیچ عنوان بر لینکهای ناآشنا یا کوتاه شده کلیک نکنید.
۵. از پسوردهای تکراری استفاده نکنید.
۶. از احراز هویت دو عاملی و پسورد منیجر استفاده کنید.
۷. برای امنیت و اطمینان خاطر بیشتر، از والتهای سختافزاری استفاده کنید.
۸. قراردادهای هوشمند خود را محدودتر کنید. مثلا میتوانید برای میزان ارزی ارسالی خود، سقف تعیین کنید.
۹. تا جای ممکن از دانلود فایل و کلیک بر لینکها در ایمیلهای خود خودداری کنید.
۱۰. پیشنهادهای ویژه، هدیهها و تخفیفهای زیادی ارزشمند، به احتمال زیاد کلاهبرداریاند، به آنها اعتماد نکنید.
منبع: Check Point