Kevin Rose, cofundador da coleção de tokens não fungíveis (NFT) Moonbirds, foi vítima de um golpe de phishing que levou ao roubo de mais de US$ 1,1 milhão em NFTs pessoais.
O criador do NFT e co-fundador do PROOF compartilhou a notícia com seus 1,6 milhão de seguidores no Twitter em 25 de janeiro, pedindo-lhes que evitassem comprar qualquer NFT Squiggles até que sua equipe conseguisse sinalizá-los como roubados.
I was just hacked, stay tuned for details - please avoid buying any squiggles until we get them flagged (just lost 25) + a few other NFTs (an autoglyph) ...
— KΞVIN R◎SE (,) (@kevinrose) January 25, 2023
“Obrigado por todas as palavras gentis e de apoio”, ele compartilhou em um tweet separado cerca de duas horas depois.
Entende-se que os NFTs de Rose foram drenados depois que ele aprovou uma assinatura maliciosa que transferiu uma proporção significativa de seus ativos NFT para o explorador.
GM – what a day!
— KΞVIN R◎SE (,) (@kevinrose) January 25, 2023
Today I was phished. Tomorrow we'll cover all the details live, as a cautionary tail, on twitter spaces. Here is how it went down, technically: https://t.co/DgBKF8qVBK
Uma análise independente da Arkham descobriu que o explorador extraiu pelo menos um Autoglyph, que tem um preço mínimo de 345 ETH; 25 Art Blocks - também conhecidos como Chromie Squiggles - no valor de pelo menos um total de 332,5 ETH; e nove itens OnChainMonkey, valendo pelo menos 7,2 Ether.
No total, pelo menos 684,7 ETH (US$ 1,1 milhão) foram extraídos.
Como Kevin Rose perdeu NFTs
Embora várias análises on-chain independentes tenham sido compartilhadas, Arran Schlosberg, vice-presidente da PROOF - a empresa por trás do Moonbirds - explicou a seus 9.500 seguidores no Twitter que Rose "foi enganada para assinar uma assinatura maliciosa" que permitiu ao explorador transferir um grande número de fichas:
1/ This was a classic piece of social engineering, tricking KRO into a false sense of security. The technical aspect of the hack was limited to crafting signatures accepted by OpenSea's marketplace contract.
— Arran (@divergencearran) January 25, 2023
O analista cripto “foobar” explicou melhor “aspecto técnico do hack” em uma postagem separada em 25 de janeiro, explicando que Rose aprovou um contrato de mercado OpenSea para mover todos os seus NFTs sempre que Rose assinasse transações.
Ele acrescentou que Rose estava sempre “a uma assinatura maliciosa” de uma exploração:
be super careful when signing anything, even offchain signatures. kevin rose just had ~$2 million worth of NFTs drained from his vault from signing one malicious seaport bundle. thankfully a couple things held back, like the punk zombie (1000 ETH) which can't be traded on OS pic.twitter.com/GXHR3NQHLf
— foobar (@0xfoobar) January 25, 2023
O analista de cripto disse que Rose deveria estar “silando” seus ativos NFT em uma carteira separada:
“Mover ativos do seu cofre para uma carteira separada de ‘venda’ antes de listar nos mercados NFT evitará isso.”
Outro analista on-chain, “Quit”, disse a seus 71.400 seguidores no Twitter que a assinatura maliciosa foi habilitada pelo contrato de mercado da Seaport – a plataforma que alimenta o OpenSea:
Kevin Rose was just lost $2m+ in assets by signing an off-chain signature that created a listing for all of his OpenSea approved assets in one go.
— quit (@0xQuit) January 25, 2023
While seaport is a powerful tool, it can also be dangerous if you're not aware of how it works.
A bit of context 1/
Quit explicou que os exploradores conseguiram configurar um site de phishing capaz de visualizar os ativos NFT mantidos na carteira de Rose.
O explorador então configurou um pedido para transferir para si todos os ativos de Rose aprovados no OpenSea.
Rose então validou a transação maliciosa, observou Quit.
Enquanto isso, foobar observou que a maioria dos bens roubados estava bem acima do preço mínimo, o que significa que a quantia roubada pode chegar a US$ 2 milhões.
Quit instou que os usuários do OpenSea “precisam fugir” de qualquer outro site que solicite aos usuários que assinem algo que pareça suspeito.
NFTs movimentados
O analista on-chain ZachXBT compartilhou um mapa de transações para seus 350.300 seguidores no Twitter, mostrando que o explorador enviou os ativos para FixedFloat - uma troca de criptomoedas na rede Lightning de camada 2 do Bitcoin.
O explorador então trocou os fundos em Bitcoin (BTC) e depositou o BTC em um misturador de Bitcoin:
Three hours ago Kevin was phished for $1.4m+ worth of NFTs. Earlier today the same scammer stole 75 ETH from another victim.
— ZachXBT (@zachxbt) January 25, 2023
Mapping this out we can see a clear trend of sending the stolen funds to FixedFloat and swapping for BTC before depositing to a bitcoin mixer. https://t.co/2yrFpfYttT pic.twitter.com/ZlywPYydwx
O membro do Crypto Twitter, Degentraland, disse a seus 67.000 seguidores no Twitter que foi a “coisa mais triste” que eles viram no espaço das criptomoedas até o momento, acrescentando que se alguém pode voltar de uma façanha tão devastadora, “é ele”:
Saddest thing I've seen in crypto to date.@kevinrose wallet drained.
— Degentraland (@Degentraland) January 25, 2023
If anyone can come back from this, it's him. pic.twitter.com/HZysg34qji
Enquanto isso, o fundador do Bankless, Ryan Sean Adams, ficou furioso com a facilidade com que Rose foi explorada. Em um tweet de 25 de janeiro, Adams pediu aos engenheiros de front-end que pegassem seu jogo e melhorassem a experiência do usuário (UX) para evitar que tais golpes ocorressem.