Пользователи рынка цифрового искусства «Nifty Gateway» сообщили, что за выходные хакеры завладели их счетами и украли «произведения искусства» стоимостью в тысячи долларов.
Некоторые пользователи сообщили, что их аккаунты цифровых сертификатов подлинности цифровых активов - известных как NFT-токены «nifities» - были опустошены за выходные. Но даже после смены пароля некоторые пользователи заявили, что хакеры не были выкинуты из украденных учетных записей. Некоторые сообщали, что украденные с их аккаунтов цифровые активы затем продавались в чат-приложении Discord или в Twitter.
Другие пользователи сообщали, что злоумышленники также украли информацию о кредитных картах и начали использовать ее для совершения покупок других активов на сумму 20 000 долларов.
Представители «Nifty Gateway» - платформы, где пользователи могут покупать, продавать и отображать цифровые активы, заявили, что поощряют пользователей использовать двухфакторную аутентификацию для предотвращения взлома аккаунтов, отметив, что ни один из аккаунтов, которые были затронуты, не использовал двухфакторную аутентификацию. Компания, заявила, что не увидела «никаких признаков компрометации платформы Nifty Gateway».
Всплеск явной хакерской активности наступил через неделю после того, как цифровой актив с использованием NFT-токена был продан на аукционе Christie's за почти 70 миллионов долларов. По данным The Wall Street Journal, это был самый дорогой цифровой актив, когда-либо проданный с применением NFT. Музыкант Граймс также недавно продал 10 NFT-активов примерно за 6 миллионов долларов.
Остается под вопросом, будет ли стоимость цифрового «NFT искусства» падать с течением времени и связана ли эта стоимость с его новизной. Но пока хакеры активно атакуют эти ценные активы.
В то время как хакеры в прошлом в основном охотились за bitcoin и другими крипто-валютами в целях наживы, NFT уникальны тем, что их нельзя обменять на другие NFT (как bitcoin), так как активы, которые они собой представляют, уникальны.
В последние недели сообщество информационной безопасности изменило свое отношение к NFT. Например, один из пользователей NFT-рынка «OpenSea» ранее в этом месяце разместил эксплойт с использованием NFT. В свете чего был поднят этический вопрос на тему что следует покупать и продавать с помощью NFT и могут ли злоумышленники в будущем с помощью NFT пытаться купить, продать и обменять эксплойты или другие инструменты взлома.
«Как инженер по эксплойтам, я смотрю на некоторые уязвимости как на произведения искусства, это интересная и интригующая ошибка компьютерной безопасности, которая приводит к отказу в обслуживании широко используемого движка сетевых игр», - заявил в твиттере пользователь, разместивший эксплойт, соучредитель и директор компании по безопасности «Hacker House» Мэтью Хики. «Активы/IP будут переданы в полном объеме, победитель может делать с ними, как ему заблагорассудится».
Упомянутой уязвимостью стало повреждение памяти после аутентификации в движке ioquake3, программном движке шутера от первого лица, что позволило бы покупателю вызвать состояние отказа в обслуживании, но сервис «OpenSea» убрал листинг эксплойта, по данным CoinDesk. Мэтью Хикки сообщил, что он пытался оспорить удаление, но еще не получил ответа от OpenSea, добавив, что хотя он считает, что не должно быть ограничений на виды цифровых активов, которые кто-то должен иметь возможность продавать с помощью NFT, он все же считает, что вся система еще очень молода и что NFT должны быть лучше поняты в сообществе информационной безопасности.
«Мы еще изучаем, что такое NFTs, но для известных случаев использования кажется, что технология еще в зачаточном состоянии. Однако мы видим в NFT разрушительный потенциал, и как это будет относиться к области ИБ, еще предстоит полностью понять», - заявил Хикки. «Я не думаю, что должны существовать какие-либо ограничения на типы цифровых активов, которые кто-то должен иметь возможность продать. Я считаю, что нынешняя модель централизованного обмена NFT должна стать децентрализованной, чтобы позволить прямую передачу таких активов по принципу peer-2-peer, если технология предназначена для того, чтобы действительно изменить концепции интеллектуальной собственности, авторского права, управления цифровыми правами и других цифровых прав».
Хикки предупредил, что NFT могут стать объектом злоупотреблений, если они попадут в плохие руки.
«Как и любая другая технология, NFT может породить новые виды киберпреступности и злоупотребления. Точно так же, как Интернет сделал возможными новые виды торговли и породил за счет этого новые виды преступлений», - сообщил Хикки.
Перевод сделан со статьи: https://www.cyberscoop.com/
