Axie Inifinity anunció que los hackers comprometieron el bot MEE6 para agregar permisos a una cuenta falsa de Jiho.
Axie Infinity ha anunciado en su página de Twitter que hubo un compromiso del bot MEE6 en su servidor de Discord. El equipo de MEE6 ha negado que haya habido un ataque a su bot.
El bot MEE6 es bastante popular en Discord, con muchos servidores que lo utilizan para automatizar mensajes y otras funciones.
Axie Infinity dijo el 18 de mayo que los atacantes comprometieron el bot y lo utilizaron para añadir permisos a una cuenta falsa de Jiho que posteriormente utilizaron para publicar un anuncio falso de la menta.
1/ Hubo un compromiso del bot Mee6 que estaba instalado en el servidor principal de Axie. Los atacantes utilizaron ese bot para añadir permisos a una cuenta falsa de Jiho, que luego publicó un anuncio falso sobre una menta.
– Axie Infinity (@AxieInfinity) 18 de mayo de 2022
Por suerte, los desarrolladores lo descubrieron rápidamente. Eliminaron el bot comprometido y borraron los mensajes. Según la plataforma de juegos, nunca hará una menta sorpresa y suele anunciar todos esos eventos en Twitter, Facebook, Discord y Substack.
Sin embargo, también dijo que algunos usuarios podrían seguir viendo los mensajes eliminados hasta que reinicien su Discord. Al menos un usuario afirma haber perdido un NFT y un dominio debido al hackeo.
Axie dice que otros sufrieron el mismo ataque
Axie Infinity declaró que el compromiso no es particular a su servidor y que muchos servidores con MEE6 Bot han enfrentado problemas similares antes. Cool Cats, RTFKT, PXN, PROOF/Moonbirds y Memeland han informado de que sus cuentas de administrador se han visto comprometidas por el bot.
4/ Esto no fue exclusivo de Axie y ocurrió en muchos servidores con el bot Mee6 instalado.
– Axie Infinity (@AxieInfinity) 18 de mayo de 2022
Según los conocedores de la seguridad de Discord, los hackers probablemente atacaron primero las cuentas de los administradores. Luego crearon una función de rol de reacción del bot MEE6, que el rol de administrador a otra cuenta.
De este modo, podían enviar mensajes de webbook sin revelar la cuenta de administrador comprometida.
MEE6 niega cualquier hackeo
MEE6 ha negado la afirmación de un compromiso en su servidor de Discord. Dijo que no hubo compromiso de ninguna comunidad NFT debido a su bot.
«No hemos sido contactados por ningún propietario real de la comunidad en el momento de este mensaje, ni a través de Discord ni de ningún otro canal de comunicación de soporte. Hemos comprobado las situaciones con nuestros ingenieros, y no se han detectado datos de actividades inusuales», dice el comunicado.
Axie Infinity sufrió recientemente un exploit en el que los hackers robaron más de 600 millones de dólares en su token nativo AXS. El token ha luchado desde el exploit, incluso después de que la compañía recaudara nuevos fondos para reembolsar a los usuarios.
La confianza de los usuarios ha caído y sigue bajando debido a los retrasos y a las crecientes preocupaciones de seguridad. AXS cotiza actualmente a 21,6 dólares desde un ATH de 164,9 dólares en noviembre de 2021.
