El Community Manager de BAYC ha sufrido una brecha en su cuenta de Discord que ha provocado la publicación de regalos fraudulentos en el Discord oficial de BAYC.
Las aplicaciones web2 como Discord han vuelto a demostrar que son el eslabón débil del arsenal de los proyectos de blockchain. Más de 175 ETH han sido drenados de las cuentas de los inversores después de que el servidor de Discord del club náutico Bored Ape fuera vulnerado. @BorisVagner, que sólo fue promovido a medios sociales para Yuga Labs en enero de 2022, tuvo su cuenta de Discord violada. El atacante pudo entonces publicar enlaces de phishing a través de la cuenta oficial de BorisVagner en el servidor Discord de Yuga Labs.
Fuente: Twitter
El enlace ha sido redactado para proteger a los lectores de visitar el sitio de phishing. BAYC finalmente emitió un comunicado casi 12 horas después de que se informara por primera vez declarando,
«Nuestros servidores de Discord fueron brevemente explotados hoy. El equipo lo ha detectado y solucionado rápidamente. Parece que se han visto afectados unos 200 ETH de NFT. Todavía estamos investigando, pero si te has visto afectado, envíanos un correo electrónico a discord@yugalabs.io».
El comunicado informaba de que el equipo «se ocupó rápidamente» y confirmaba que el valor total perdido por los miembros era de 200 ETH. Al valor actual, esto supone 354.000 dólares perdidos en muy poco tiempo. La falta de urgencia a la hora de informar sobre el asunto a su comunidad y la brevedad del anuncio sugieren un elemento de complacencia por parte de Yuga Labs.
Cuenta del Community Manager comprometida.
BAKC» OKHotshot fue uno de los primeros en informar de la brecha tuiteando, «@BorisVagner consiguió su cuenta violada, lo que permitió a los estafadores ejecutar su ataque de phishing. Le han robado más de 145E». OKHotshot nos dijo en exclusiva que son alrededor de 354 mil dólares.
«Las prácticas de seguridad adecuadas deben mantenerse para cualquier proyecto que haga ingresos millonarios. Especialmente si el proyecto está en el top 10 del mercado. No tener un gestor de seguridad aumenta ese riesgo de forma significativa».
OKHotshot cree que un gestor de seguridad podría haber evitado esto, ya que «se encargaría de las prácticas de seguridad de la discordia, de la política del equipo, y se aseguraría de que se mantuvieran. Ningún miembro del equipo debería tener sus mensajes directos abiertos, hacer clic en enlaces o utilizar sus cuentas principales en otros servidores, por poner algunos ejemplos.» Yuga Labs tiene varios roles de trabajo disponibles, pero no hay roles de seguridad en vivo.
Reacción de la comunidad
La comunidad de criptomonedas también se expresó sobre el tema a través de un hilo publicado por el usuario de Reddit u/naji102. Los usuarios discutieron la caída de la confianza en los NFTs debido al aumento de las estafas que incluso provienen de fuentes oficiales. u/XnoonefromnowhereX comentó: «El mensaje tenía errores gramaticales que deberían haber sido una bandera roja», mientras que u/CrimsonFox99 declaró empáticamente: «Es difícil culparlos en esa parte, especialmente viniendo de una supuesta fuente de confianza.»
Un usuario de Twitter se dirigió a OpenSea y LooksRare alegando «Acabo de hacer clic en un reclamo de duende falso. Me han robado 2 MAYC y 8 cool cats. … por favor, ayuda. Me han robado todo». Llegaron llamadas de otros usuarios apoyando la iniciativa de congelar las cuentas del ladrón. Parece que muchas veces la descentralización sólo se apoya hasta que los inversores necesitan un apoyo centralizado.
BAYC Discordia comprometida antes
No es la primera vez que el servidor de Discord se ve comprometido. El servidor fue hackeado en abril de 2022, con el robo de MAYC 8662. La historia continuó ya que más tarde se supo que la superestrella del pop taiwanés Jay Chou era el propietario del NFT robado por valor de 550 mil dólares. En ambas ocasiones se comprometió un perfil de Discord, lo que permitió que el ataque publicara enlaces de phishing en los canales oficiales.
Protección de la infraestructura web2 vinculada a la web3
Se están lanzando soluciones para intentar combatir el problema de los sitios web fraudulentos. La mayoría de las principales herramientas antivirus utilizan bibliotecas de sitios de la lista negra para ayudar a los usuarios a navegar por Internet. Sin embargo, la velocidad y la frecuencia de las estafas hacen que estas herramientas no siempre estén completamente actualizadas. Una extensión de Chrome llamada Wallet Guard intenta resolver este problema en el espacio web3.
Wallet Guard dijo a CryptoSlate:
«No todo el mundo tiene una formación técnica ni lleva mucho tiempo en este espacio… nuestra extensión nunca toca tu cartera, sólo necesita saber el dominio que estás intentando visitar. «
La herramienta marcó la URL del sitio de phishing publicado en la cuenta de Discord de BorisVagner y podría haber ayudado a los inversores a decidir si debían confiar en el enlace.
Sin embargo, incluso herramientas como ésta no son invulnerables. Un estafador sofisticado podría, en teoría, entrar en un servidor oficial de Discord y, al mismo tiempo, atacar un sitio como Wallet Guard para que parezca un sitio legítimo». Sin embargo, no se espera que ninguna herramienta sea 100% invulnerable a todos los ataques. Hay que fomentar cualquier forma de reducir las posibilidades de que los inversores sean víctimas de un fraude.
Aun así, cada estafa de phishing que ataca a un proyecto de blockchain llega a través de una conexión web2 al proyecto de blockchain. La adición de la funcionalidad web3 a la tecnología web2, como Discord, podría aumentar drásticamente su seguridad.
Nos pusimos en contacto con BorisVagner para pedirle un comentario, pero no recibimos respuesta.
