Axie Inifinity a annoncé que des pirates ont compromis le bot MEE6 pour ajouter des permissions pour un faux compte Jiho.
Axie Infinity a annoncé sur sa page Twitter qu’il y a eu une compromission du bot MEE6 sur son serveur Discord. L’équipe de MEE6 a nié qu’il y ait eu une attaque sur son bot.
Le bot MEE6 est assez populaire sur Discord, de nombreux serveurs l’utilisant pour automatiser les messages et autres fonctions.
Axie Infinity a déclaré le 18 mai que les attaquants ont compromis le robot et l’ont utilisé pour ajouter des autorisations pour un faux compte Jiho, qu’ils ont ensuite utilisé pour publier une fausse annonce de menthe.
1/ Le robot Mee6, installé sur le serveur principal d’Axie, a été compromis. Les attaquants ont utilisé ce robot pour ajouter des permissions à un faux compte Jiho, qui a ensuite posté une fausse annonce concernant une menthe.
– Axie Infinity (@AxieInfinity) May 18, 2022
Fort heureusement, les développeurs l’ont découvert rapidement. Ils ont retiré le bot compromis et supprimé les messages. Selon la plateforme de jeux, elle ne fera jamais de menthe surprise et annonce habituellement tous les événements de ce type sur Twitter, Facebook, Discord et Substack.
Cependant, elle a également déclaré que certains utilisateurs pourraient encore voir les messages supprimés jusqu’à ce qu’ils redémarrent leur Discord. Au moins un utilisateur affirme avoir perdu un NFT et un domaine à cause du piratage.
Axie dit que d’autres ont subi le même exploit
Axie Infinity a déclaré que la compromission n’est pas particulière à son serveur et que de nombreux serveurs avec MEE6 Bot ont été confrontés à des problèmes similaires auparavant. Cool Cats, RTFKT, PXN, PROOF/Moonbirds et Memeland ont tous signalé une compromission de leurs comptes d’administrateur due au bot.
4/ Ce n’était pas propre à Axie et cela s’est produit sur de nombreux serveurs sur lesquels le bot Mee6 était installé.
– Axie Infinity (@AxieInfinity) May 18, 2022
Selon ceux qui connaissent bien la sécurité de Discord, les pirates ont probablement commencé par s’attaquer aux comptes administrateurs. Puis ils ont créé une fonction de rôle de réaction à partir du bot MEE6, qui le rôle d’administrateur à un autre compte.
En faisant cela, ils pouvaient envoyer des messages webbook sans révéler le compte administrateur compromis.
MEE6 nie tout piratage
MEE6 a démenti l’allégation d’une compromission de son serveur Discord. Il a déclaré qu’aucune communauté NFT n’a été compromise par son bot.
Nous n’avons été contactés par aucun propriétaire réel de communauté au moment de l’envoi de ce message, ni via Discord ou tout autre canal de communication de support. Nous avons vérifié la situation avec nos ingénieurs et aucune donnée d’activité inhabituelle n’a été repérée », peut-on lire dans la déclaration.
Ax.
Axie Infinity a récemment été victime d’un exploit au cours duquel des pirates ont volé plus de 600 millions de dollars dans son jeton natif AXS. Le jeton est en difficulté depuis cet exploit, même après que la société ait levé de nouveaux fonds pour rembourser les utilisateurs.
La confiance des utilisateurs a chuté et continue de baisser en raison des retards et des problèmes de sécurité croissants. AXS se négocie actuellement à 21,6 dollars, alors qu’il avait atteint un prix plafond de 164,9 dollars en novembre 2021.
