Il fondatore del progetto Ordinal Rugs ha detto che martedì gli hacker hanno preso di mira i membri del server Bitcoin Rock Discord, rubando $ 1.47 BTC, circa $ 103,003, e 4 BTC, circa $ 208,196, in iscrizioni Ordinal dal loro portafoglio.
Gli ordinali sono la cosa più interessante negli oggetti da collezione digitali; secondo un rapporto di Dune Analytics, sono state coniate oltre 63 milioni di iscrizioni sulla blockchain di Bitcoin, con 6388 BTC in commissioni solo ad oggi, circa 450 milioni di dollari. Ciò rende Bitcoin un bersaglio allettante per gli hacker.
"Nei dieci anni che ho trascorso nel settore delle criptovalute, questa è la prima volta che ho perso una notevole quantità di denaro a causa di un hack/truffa (per non parlare di un svuotamento di portafoglio)", ha rivelato il fondatore con lo pseudonimo Archon in un thread di tweet— ammettendo di essere stato negligente, nonostante l'implementazione di forti controlli di sicurezza.
"Non sono il tipo che prende alla leggera la sicurezza operativa", hanno scritto. "Ho tutti gli accessi personali autenticati con Yubikeys e la maggior parte dei miei asset/ordinali crittografici sono sicuri su hardware + portafogli multi-sig."
Portafoglio svuotato, un Port-Mortem…
Oggi sono caduto vittima di un svuotamento di portafoglio su uno dei miei hot wallet personali, perdendo 1.47 BTC più circa ~ 4 BTC in ordinali ($ 300 + USD)
Nei dieci anni che ho trascorso nel mondo delle criptovalute, questa è la prima volta che ho perso una somma considerevole... pic.twitter.com/nhsBDmrWWV
— Arconte ⚡️ (@bitarconte) 26 Marzo 2024
Gli attacchi informatici contro i portafogli crittografici sono comuni e le celebrità e le comunità di spicco sono obiettivi frequenti. Nel maggio 2022, l'attore Seth Green è stato vittima di un attacco di phishing che lo ha derubato di un NFT del Bored Ape Yacht Club. Mentre i ladri hanno tradizionalmente concentrato la blockchain di Ethereum e Solana, gli Ordinals sono la novità più interessante, che attira i truffatori e mette i portafogli Bitcoin nel loro mirino.
Come ha spiegato Archon, l'hacking è iniziato con un messaggio inviato ai membri di Bitcoin Rock Discord pubblicizzando un omaggio dei popolari Runestones Ordinals. L'account includeva un collegamento a un clone dannoso del sito Web Magic Eden NFT. Quando Archon ha collegato il suo portafoglio al sito e ha firmato la transazione, il ladro è riuscito a rubare gli NFT.
"Non so se qualcun altro è stato colpito", ha detto Archon decrypt. "Mi sono reso conto [del furto] meno di un minuto dopo aver firmato la [transazione]."
Gli hacker hanno addirittura utilizzato una delle iscrizioni rubate, 53,109,400, per pagare la commissione sulla transazione.
"Nessun fondo/account/accesso relativo a [Ordinal Rugs] è stato interessato... questo era solo il mio portafoglio personale e qui posso incolpare solo me stesso", ha detto Archon. "Inutile dire che non permetterò che ciò accada di nuovo."
Secondo la società di sicurezza blockchain Halborn, la mancanza di due diligence e di FOMO fa sì che i collezionisti commettano errori che normalmente non farebbero.
"Eseguendo il ping dell'intero server, ha pensato che il messaggio provenisse dall'amministratore, quindi si è fidato di quell'URL e ha fatto clic su di esso", ha detto David Schwed, COO di Halborn decrypt. "Quindi in realtà è solo un esempio di ingegneria sociale e phishing."
Il phishing è una forma di crimine informatico che tenta di rubare qualcosa di valore (in questo caso, un NFT) tramite e-mail, siti Web o social media ingannevoli.
Schwed ha sottolineato la facilità di clonare un sito Web e ha affermato che gli utenti del portafoglio devono essere estremamente vigili, compreso il doppio controllo degli URL dei siti Web.
"Ci sono plugin che le persone possono utilizzare che potrebbero avvisarli che si tratta di un dominio falso", ha detto Schwed a Decrypt. "Controllerebbe cose come quando il dominio è stato registrato."
Schwed ha affermato che un'altra opzione è utilizzare le estensioni del browser che bloccano i domini appena osservati e appena registrati.
Non volendo essere esclusi dalla mania degli Ordinals, è nata online un'industria artigianale di portafogli compatibili, ma mancano della storia e della saggezza conquistata a fatica, derivata dagli attacchi subiti dai vecchi portafogli compatibili con NFT come MetaMask e Phantom. I fornitori veterani hanno le cicatrici di battaglia per dimostrare il loro impegno per la sicurezza, vantando funzionalità come Blockaid e avvisi di attacchi dannosi che i portafogli più recenti potrebbero non avere.
"Alcuni portafogli hanno una certa sicurezza integrata, mentre altri no", ha detto Schwed, notando l'integrazione di Blockaid da parte di Metamask lo scorso anno. "Molti di loro si concentrano sui contratti intelligenti, il che potrebbe essere il motivo per cui hanno preso di mira BTC."
A cura di Ryan Ozawa.
Rimani aggiornato sulle notizie crittografiche, ricevi aggiornamenti quotidiani nella tua casella di posta.
Fonte: https://decrypt.co/223592/bitcoin-ordinals-hot-wallet-discord-phishing-hack