Bohužel, sbírky nezaplatitelných tokenů (NFT) jsou i nadále hlavním cílem hackerů a projekt Azuki byl zasažen. Zlomyslná osoba převzala účet projektu na Twitteru, kde sdílela phishingový odkaz, a podařilo se jí odcizit finanční prostředky některým uživatelům
Účet na Twitteru projektu Azuki v nepovolaných rukou
V pátek 27. ledna byl hacknut twitterový účet projektu Azuki non-fungible token (NFT). Pachatel vyzval komunitu Azuki, aby si přišla „nárokovat půdu“ v „Zahradě“, metaverzu věnovaném sbírce
Screenshot škodlivého tweetu, od té doby smazaný (odkaz skrytý)
Naneštěstí se prostřednictvím tohoto zdánlivě poctivého odkazu členům komunity Azuki vyprázdnily peněženky udělením škodlivého povolení na phishingové stránce. Za pouhých 30 minut hacker získal 11 NFT a 3,9 ETH a do své peněženky, která je nyní identifikována jako phishingová stránka Etherscan, poslal 750 000 USDC.
USDC byly poté odeslány do jiné peněženky, rovněž identifikované společností Etherscan, která vyměnila jeho tokeny za WETH (Wrapped Ether) prostřednictvím decentralizovaného finančního protokolu Uniswap V3 (DeFi) prostřednictvím 2 samostatných transakcí viditelných zde a zde.
Komunitní manažer projektu Rose rychle potvrdil hacknutí účtu Azuki. Škody byly naštěstí díky reaktivitě komunity relativně omezené, protože například MetaMask dotyčnou doménu rychle zablokoval, aby ochránil své uživatele, stejně jako to udělal Phantom nebo ZenGo.
Dosti temná záležitost
Twitterový účet Azuki byl naštěstí večer obnoven a přes noc byl zveřejněn posmrtný tweet projektu.
1/ Twitter @AzukiOfficial byl dnes napaden. Série škodlivých tweetů byla zveřejněna během dopoledne v pátek 27. ledna (pacifického času).
Tým získal zpět kontrolu nad Twitterem @AzukiOfficial
Podrobnosti najdete níže
– Azuki (@Azuki) January 27, 2023
Jak bylo zmíněno ve vlákně, účet na Twitteru byl obnoven poměrně rychle díky práci provedené ve spolupráci s týmy sociálních sítí. Původ narušení však zůstává záhadou, protože podle sdělení se zdá, že dotyčný účet byl zabezpečen metodou dvoufaktorového ověřování (2FA). Společnost Azuki proto zahájila vyšetřování s cílem objasnit tuto záležitost.
Zdá se, že ZachXBT, známý svými vyšetřováními na řetězci, našel počátek stopy. Podle něj se jedná o stejnou osobu, které se podařilo hacknout twitterové účty projektů NFT Mutant Hounbds, AKCB a Chimpers.
Jedná se o stejného podvodníka jménem Lock, který nedávno kompromitoval účty na Twitteru projektů Mutant Hounds, AKCB a Chimpers. pic.twitter.com/YSgy6SnvJr
– ZachXBT (@zachxbt) January 27, 2023
Vysvětluje také, že chyba mohla pocházet ze strany Twitteru a že týmy Azuki nemohly udělat nic víc, aby útoku zabránily, což by vysvětlovalo chybu obcházející 2FA, uznávané bezpečnostní opatření. V minulosti jsme se totiž setkali s tím, že hackeři byli ochotni zaplatit velké částky peněz, aby obešli zabezpečení účtů Twitter.
Jedná se však pouze o spekulace a zatím není nic potvrzeno. Bylo by však velmi zajímavé pochopit, jak se stejnému hackerovi podařilo získat přístup k tolika různým účtům na Twitteru
