Begini Cara Seorang Peretas Mencuri NFT BAYC Melalui Rekayasa Sosial
Daya upaya peretas jahat semakin canggih dan meyakinkan. Mereka membeli web dari perusahaan film ternama, lalu menaruh jebakan dalam situsnya agar korban mau membuat kontrak dengan mereka. Begitu tandatangan diklik, NFT BAYC senilai Rp 16 miliar raib seketika.
Lagi-lagi ulah peretas bagaimana membodohi investor. Analis Keamanan Web3, Serpent, mempresentasikan analisis mendetail tentang bagaimana seorang peretas mencuri 14 NFT BAYC senilai lebih dari 852 ETH atau sekitar $1,07 juta melalui rekayasa sosial selama sebulan.
Peretas ini menghubungi korban dan meminta lisensi hak IP untuk BAYC #2060. Penipu mengklaim bahwa dia adalah seorang Direktur Casting yang bekerja untuk Forte Pictures, sebuah perusahaan pemenang penghargaan Piala Emmy yang berbasis di LA dengan kantor di Sony Pictures Studio.
Nama samaran penipu disebutkan sebagai Jason Brubeck. Jelas ini nama palsu dan tidak pernah ada. Forte Pictures dan Marcus Mizelle (diduga sebagai CEO perusahaan) keduanya nyata dan sah. Namun, Forte Pictures yang sebenarnya tidak memiliki domain forte.рictures, tetapi beroperasi di bawah situs web Mizelle, marcusmizelle.сom. Ini untuk meyakinkan bagi mereka yang sedikit cerman ingin melacak sumbernya.
Terjebak Dalam Kontrak
Penipu mendaftarkan domain forte.рictures dan berpose sebagai perusahaan pemenang penghargaan Emmy dan berpura-pura membuat film terkait NFT berjudul “The Return of Time” bekerja sama dengan “Unemployd”, sebuah “platform IP sosial bertenaga AI untuk NFT,” yang juga merupakan penipuan.
Sebagai bagian dari penipuan proyek “Unemployd”, mereka menghabiskan berjam-jam untuk menelepon, berbicara dengan korban selama berminggu-minggu, membuat penawaran dan kemitraan palsu, membentuk kontrak hukum palsu, dan sering menjadi host Twitter Space.
Selain itu, penipu membuat akun Twitter BAYC/MAYC palsu yang men-twit dan berinteraksi dengan orang setiap hari dan berpura-pura telah menandatangani perjanjian lisensi untuk NFT mereka dengan Unemployd.
Setelah melalui kontrak dan mendiskusikan persyaratannya, mereka mengirim email kepada korban, menyatakan bahwa mereka “mengirim penawaran” melalui Unemployd. Penipu tersebut menyuruhnya mengunjungi Unemployd untuk “menandatangani kontrak”. Tentu saja, orang percaya.
Situs penipu menampilkan gas-less Seaport signature, yang mereka klaim perlu ditandatangani untuk lisensi. Namun, signature tersebut membuat daftar bundel pribadi dari semua BAYC korban kepada penipu senilai 0,00000001 ETH. Di sinilah jebakan mendapatkan targetnya.
Dompet penipu menjalankan fungsi matchOrders untuk menyelesaikan penjualan pribadi, lalu dia menerima penawaran WETH tertinggi di semua NFT, yang memungkinkannya mengonversi 852,86 WETH menjadi 1,07 juta DAI.
Penipu kemudian mengirim dana ke dompet baru, di mana dana tersebut saat ini tidak aktif, tapi NFT BAYC telah berpindah dompet. NFT senilai Rp 16 miliar raib secara meyakinkan.
MS Sumber Serpent, Twitter
CryptoNews: Peretasan Semakin Marak. Bursa Kripto Nyaris Tak Berdaya
Ini Alasan Mengapa Masih Lebih Baik Investasi pada Kripto
