By Bitcoinist - 1 рік тому - Час читання: 3 хвилин
Цікавий випадок злому Webaverse за 4 мільйони доларів
Залучення капіталу в криптосередовищі може принести унікальний і неперевершений набір проблем. Не дивіться далі, ніж завжди цікавий випадок Webaverse, фірми, яка розробляє ігровий движок і MMO (масову багатокористувацьку онлайн-гру), натхненну характеристиками метавсесвіту.
Команда Webaverse нещодавно зазнала жорстокого удару після того, як зазнала експлойту соціальної інженерії, яка коштувала ~4 мільйони доларів. Однак, це не був ваш «звичайний» хак – або, принаймні, він не був представлений як такий. Хоча деталі виконання злому все ще залишаються під питанням, одне можна сказати напевно: це був результат складної «довгої гри» соціальної інженерії, підкріпленої фальшивою інформацією KYC, шахрайськими веб-сайтами та доповненою ін- зустріч особи.
Експлойти виходять на новий рівеньУ наші дні допитливі уми не можуть бути достатньо допитливими – і належна обачність просто не може бути достатньо старанною. Ми розглянули експлойт, який спричинив викрадення понад десятка NFT Bored Ape Yacht Club всього два місяці тому, і ще одна нещодавня історія з подібними штрихами говорить нам, що одне можна сказати напевно: з урахуванням сум у доларах у сучасному криптографічному ландшафті хакери та експлуататори готові йти на неймовірно великі відстані, щоб обдурити цифрові активи.
Грудневе пограбування NFT показало ретельно продуманого фальшивого кастинг-директора, який використовував фальшивий веб-сайт, фальшиві домени електронної пошти, фальшиві презентації тощо – усе це для створення фасаду довіри та боротьби з зусиллями належної обачності. В результаті власник втратив понад 1 мільйон доларів США.
Ця «схожа, але відмінна» історія з’явилася на світ цього тижня, вперше розширена шановним програмістом DefiLlama 0xngmi.
Курйозний випадок божевільних обставинПосилання на твіт 0xngmi містить офіційну заяву команди Webaverse, 4-сторінковий Google Doc, розроблений співзасновником і генеральним директором компанії Ахадом Шамсом. Шамс детально розповів, що в листопаді 2022 року, після тижнів діалогу з досвідченою командою шахраїв, які видавали себе за потенційних інвесторів, між ними була організована зустріч у Римі.
Шахраї вимагали «підтвердження наявності коштів», і Шамс намагався захистити себе, оприлюднивши лише знімок екрана самостійного та незалежного довірчого гаманця з коштами, стверджуючи, що жодних ключів чи важливих даних облікового запису не було розкрито та що гаманець був власним - створений, самоконтрольований і самоохоронюваний, який використовується виключно для цього випадку.
Навколо цієї взаємодії Шамс доклав інших зусиль із запобігання інцидентам, але в цьому випадку кроків, вжитих Шамсом для захисту коштів його організації, виявилося недостатньо.
Загалом, як зазначає Шамс, це не ситуація, коли DAO або інший пул державних коштів переслідує користувача. Це просто компанія, яка надає допитливим крипторозумникам інформацію про нещасливу обставину, яка не є результатом відсутності належної обачності чи турботи. Однак це не означає, що Шамс не зробив помилки на цьому шляху.
Фактично, сьогоднішня загальна логіка означатиме, що ми втрачаємо важливу частину головоломки.
Генеральний директор Trust Wallet Еовін Чен у понеділок опублікував твіт у відповідь. Не дивуйтеся, якщо ринкові детективи з часом розкриють більше.
Сумно чути про справу про крадіжку Webaverse. Після взаємодії зі слідчими групами ми маємо високу впевненість, що причиною крадіжки НЕ було @TrustWallet додаток, але, ймовірно, організована злочинність. На жаль, у Європі, зокрема в Римі, було кілька особистих безрецептурних шахрайств. https://t.co/KbIPjz01uB
— Eowync.eth (@EowynChen) 6 Лютого, 2023
Оригінальний джерело: Bitcoinє