Manažerovi komunity BAYC byl údajně prolomen účet na Discordu, což vedlo k tomu, že na oficiálním Discordu BAYC byly zveřejněny podvodné dárky.
Web2 aplikace jako Discord se opět ukázaly jako slabý článek v arzenálu blockchainových projektů. Z účtů investorů bylo odčerpáno více než 175 ETH poté, co byl narušen server Discord klubu Bored Ape Yacht. Účet Discord byl prolomen @BorisVagner, který byl v lednu 2022 povýšen pouze na pozici Social Media pro Yuga Labs. Útočník pak mohl prostřednictvím oficiálního účtu BoriseVagnera na serveru Discord společnosti Yuga Labs zveřejnit phishingové odkazy.
Zdroj: Twitter
Odkaz byl z důvodu ochrany čtenářů před návštěvou phishingové stránky redigován. Společnost BAYC nakonec téměř 12 hodin po první zprávě vydala prohlášení, ve kterém uvádí,
„Naše servery Discord byly dnes krátce zneužity. Tým to rychle zachytil a vyřešil. Zdá se, že byly ovlivněny NFT v hodnotě asi 200 ETH. Stále probíhá vyšetřování, ale pokud jste byli zasaženi, napište nám na discord@yugalabs.io.“
V prohlášení se uvádí, že tým „to rychle vyřešil“, a potvrzuje se, že celková hodnota, o kterou členové přišli, je 200 ETH. Při dnešní hodnotě to znamená 354 tisíc dolarů, které zmizely téměř během okamžiku. Nedostatek naléhavosti při oznamování této záležitosti své komunitě a stručnost oznámení naznačují prvek sebeuspokojení ze strany Yuga Labs.
Odhalení účtu správce komunity.
Podle Peckshield „bylo ukradeno 32 NFT, včetně 1 BAKC“ OKHotshot byl jedním z prvních, kdo o narušení informoval na Twitteru: „@BorisVagner dostal narušení účtu, což umožnilo podvodníkům provést phishingový útok. Bylo ukradeno přes 145E in.“ OKHotshot nám exkluzivně sdělil, že se jedná o částku kolem 354 tisíc dolarů.
„Správné bezpečnostní postupy by měly být dodržovány u každého projektu, který dělá milionové příjmy. Zvláště pokud je projekt v první desítce na trhu. Nemít bezpečnostního manažera toto riziko výrazně zvyšuje. „
OKHotshot se domnívá, že bezpečnostní manažer by tomu mohl zabránit, protože „by se zabýval bezpečnostními postupy discord, týmovou politikou a zajistil jejich dodržování. Žádný člen týmu by neměl mít otevřené přímé zprávy, neměl by klikat na odkazy nebo používat své hlavní účty na jiných serverech, abych uvedl jen několik příkladů.“ Yuga Labs mají k dispozici několik pracovních pozic, ale žádné bezpečnostní role nejsou v provozu.
Reakce komunity
Kryptografická komunita se k problému vyjádřila také prostřednictvím vlákna, které zveřejnil uživatel Redditu u/naji102. Uživatelé diskutovali o poklesu důvěry v NFT kvůli nárůstu podvodů, které dokonce pocházejí z oficiálních zdrojů. u/XnoonefromnowhereX komentoval: „Zpráva měla gramatické chyby, které měly být červenou vlajkou,“ zatímco u/CrimsonFox99 empaticky uvedl: „Těžko je v této části obviňovat, zejména když pochází z údajně důvěryhodného zdroje.“
Uživatel Twitteru se obrátil na OpenSea a LooksRare s prosbou: „Právě jsem kliknul na falešný gobliní claim. Byly ukradeny 2 MAYC a 8 cool koček. … Prosím o pomoc. Ukradli mi všechno.“ Od dalších uživatelů přišly výzvy podporující iniciativu na zmrazení účtů zlodějů. Zdá se, že decentralizace je často podporována jen do té doby, než investoři potřebují centralizovanou podporu.
BAYC Discord kompromitován již dříve
Není to poprvé, co byl server Discord kompromitován. Server byl hacknut v dubnu 2022, přičemž byl odcizen MAYC 8662. Příběh pokračoval, protože později vyšlo najevo, že majitelem ukradeného NFT v hodnotě 550 tisíc dolarů byla tchajwanská popová superstar Jay Chou. V obou případech byl kompromitován profil na Discordu, což umožnilo útočníkovi zveřejnit phishingové odkazy na oficiálních kanálech.
Ochrana infrastruktury web2 napojené na web3
Vydávají se řešení, která se snaží bojovat proti problému podvodných webových stránek. Většina hlavních antivirových nástrojů používá knihovny stránek na černé listině, které uživatelům pomáhají při procházení internetu. Vzhledem k rychlosti a četnosti podvodů však tyto nástroje nemusí být vždy zcela aktuální. Rozšíření pro Chrome s názvem Wallet Guard se pokouší tento problém vyřešit v prostoru web3.
Wallet Guard řekl CryptoSlate:
„Ne každý má technické vzdělání ani se v tomto prostoru příliš dlouho nepohybuje… Naše rozšíření se nikdy nedotkne vaší peněženky, potřebuje pouze znát doménu, kterou se pokoušíte navštívit. „
Nástroj označil adresu URL phishingové stránky zveřejněné na účtu BorisVagner Discord a mohl pomoci investorům při rozhodování, zda mají odkazu věřit.
Ani takové nástroje však nejsou nezranitelné. Sofistikovaný podvodník by se teoreticky mohl dostat na oficiální server Discord a zároveň napadnout web, jako je Wallet Guard, aby vypadal jako legální stránka.“ U žádného nástroje však nelze očekávat, že bude stoprocentně nezranitelný vůči všem útokům. Každý způsob, jakým mohou investoři snížit pravděpodobnost, že se stanou obětí podvodu, by měl být podporován.
Přesto každý phishingový podvod útočí na podvod s blockchainovým projektem, který přichází přes web2 spojení s blockchainovým projektem. Přidání funkce web3 k technologii web2, jako je Discord, by mohlo výrazně zvýšit její bezpečnost.
Oslovili jsme BoriseVagnera s žádostí o komentář, ale nedostali jsme odpověď.
