Der Community Manager des BAYC hat Berichten zufolge seinen Discord-Account geknackt, was dazu führte, dass betrügerische Werbegeschenke auf dem offiziellen BAYC-Discord gepostet wurden.
Web2-Anwendungen wie Discord haben sich erneut als schwaches Glied im Arsenal von Blockchain-Projekten erwiesen. Über 175 ETH wurden von den Konten der Investoren abgezogen, nachdem der Discord-Server des Bored Ape Yachtclubs geknackt wurde. Das Discord-Konto von @BorisVagner, der erst im Januar 2022 zum Social Media Manager von Yuga Labs befördert wurde, wurde angegriffen. Der Angreifer war dann in der Lage, Phishing-Links über BorisVagners offizielles Konto auf dem Discord-Server von Yuga Labs zu posten.
Quelle: Twitter
Der Link wurde geschwärzt, um die Leser vor dem Besuch der Phishing-Site zu schützen. BAYC veröffentlichte schließlich fast 12 Stunden nach der ersten Meldung eine Erklärung, in der es heißt,
„Unsere Discord-Server wurden heute kurzzeitig angegriffen. Das Team hat das Problem schnell erkannt und behoben. Es scheinen NFTs im Wert von etwa 200 ETH betroffen zu sein. Wir untersuchen den Vorfall noch, aber wenn Sie betroffen sind, senden Sie uns eine E-Mail an [email protected].“
In der Erklärung heißt es, das Team habe sich schnell darum gekümmert“ und bestätigt, dass der Gesamtwert der verlorenen Mitglieder 200 ETH beträgt. Beim heutigen Wert sind das 354.000 Dollar, die in kürzester Zeit verschwunden sind. Der Mangel an Dringlichkeit bei der Meldung der Angelegenheit an die Community und die Kürze der Ankündigung lassen auf eine gewisse Selbstgefälligkeit von Yuga Labs schließen:
Community Manager Konto kompromittiert.
Laut Peckshield wurden „32 NFTs gestohlen, darunter 1 „Angemessene Sicherheitspraktiken sollten bei jedem Projekt, das Millionenumsätze macht, beachtet werden. Vor allem, wenn das Projekt zu den Top 10 auf dem Markt gehört. Das Fehlen eines Sicherheitsmanagers erhöht dieses Risiko erheblich. „
OKHotshot glaubt, dass ein Sicherheitsmanager dies hätte verhindern können, da „er sich um die Sicherheitspraktiken von Discord und die Teamrichtlinien kümmern und sicherstellen würde, dass sie eingehalten werden. Kein Teammitglied sollte seine Direktnachrichten offen haben, auf Links klicken oder seine Hauptkonten auf anderen Servern verwenden, um nur einige Beispiele zu nennen.“ Yuga Labs hat mehrere Job-Rollen zur Verfügung, aber keine Sicherheitsrollen sind live:
Gemeinschaftsreaktion
Die Krypto-Community hat sich in einem von Reddit-Benutzer u/naji102 geposteten Thread ebenfalls zu diesem Thema geäußert. Die Nutzer diskutierten über das sinkende Vertrauen in NFTs aufgrund der Zunahme von Betrügereien, die sogar aus offiziellen Quellen stammen. u/XnoonefromnowhereX kommentierte: „Die Nachricht hatte grammatikalische Fehler, die eine rote Fahne hätten sein sollen“, während u/CrimsonFox99 einfühlsam feststellte: „Es ist schwer, ihnen diesen Teil vorzuwerfen, vor allem, wenn er von einer vermeintlich vertrauenswürdigen Quelle kommt.“
Ein Twitter-Nutzer wandte sich an OpenSea und LooksRare mit den Worten: „Ich habe gerade auf einen gefälschten Goblin-Claim geklickt. 2 MAYC und 8 coole Katzen wurden gestohlen. … bitte helft. Sie haben alles von mir gestohlen.“ Andere Nutzer riefen dazu auf, die Konten der Diebe zu sperren. Es scheint, dass die Dezentralisierung oft nur so lange unterstützt wird, bis die Investoren zentralisierte Unterstützung benötigen.
BAYC Discord vorher kompromittiert
Das ist nicht das erste Mal, dass der Discord-Server kompromittiert wurde. Der Server wurde im April 2022 gehackt, wobei MAYC 8662 gestohlen wurde. Die Geschichte ging weiter, als später bekannt wurde, dass der taiwanesische Pop-Superstar Jay Chou der Besitzer des gestohlenen NFT im Wert von 550.000 Dollar war. In beiden Fällen wurde ein Discord-Profil kompromittiert, was es dem Angreifer ermöglichte, Phishing-Links auf offiziellen Kanälen zu posten.
Schutz der Web2-Infrastruktur in Verbindung mit Web3
Es gibt Lösungen, mit denen versucht wird, das Problem der betrügerischen Websites zu bekämpfen. Die meisten großen Antivirenprogramme verwenden Bibliotheken mit Websites, die auf der schwarzen Liste stehen, um die Benutzer beim Surfen im Internet zu unterstützen. Die Geschwindigkeit und Häufigkeit von Betrügereien bedeutet jedoch, dass diese Tools nicht immer auf dem neuesten Stand sind. Eine Chrome-Erweiterung namens Wallet Guard versucht, dieses Problem im web3-Bereich zu lösen.
Wallet Guard erklärte gegenüber CryptoSlate:
„Nicht jeder hat einen technischen Hintergrund oder ist schon zu lange in diesem Bereich unterwegs… unsere Erweiterung berührt niemals Ihre Brieftasche, sie muss nur die Domain kennen, die Sie zu besuchen versuchen. „
Das Tool markierte die URL der Phishing-Seite, die auf BorisVagners Discord-Konto gepostet wurde, und hätte Anlegern bei der Entscheidung helfen können, ob sie dem Link vertrauen sollten.
Aber auch solche Tools sind nicht unverwundbar. Ein raffinierter Betrüger könnte sich theoretisch in einen offiziellen Discord-Server einklinken und gleichzeitig eine Website wie Wallet Guard angreifen, um sie als legitime Website erscheinen zu lassen.“ Es ist jedoch nicht zu erwarten, dass ein Tool zu 100 % unverwundbar gegen alle Angriffe ist. Jede Möglichkeit, mit der Anleger das Risiko verringern können, Opfer eines Betrugs zu werden, sollte unterstützt werden.
Dennoch, jeder Phishing-Betrug, der ein Blockchain-Projekt angreift, kommt über eine web2-Verbindung zum Blockchain-Projekt. Die Hinzufügung von Web3-Funktionen zur Web2-Technologie wie Discord könnte die Sicherheit drastisch erhöhen.
Wir haben BorisVagner um einen Kommentar gebeten, aber keine Antwort erhalten.
