Le gestionnaire de la communauté BAYC aurait vu son compte Discord piraté, ce qui a entraîné la publication de cadeaux frauduleux sur le Discord officiel de BAYC.
Les applications Web2 telles que Discord se sont une nouvelle fois révélées être le maillon faible de l’arsenal des projets blockchain. Plus de 175 ETH ont été drainés des comptes des investisseurs après que le serveur Discord du Bored Ape Yacht club ait été violé. @BorisVagner, qui n’a été promu aux médias sociaux pour Yuga Labs qu’en janvier 2022, a vu son compte Discord violé. L’attaquant a ensuite pu poster des liens d’hameçonnage via le compte officiel de BorisVagner sur le serveur Discord de Yuga Labs.
Source : Twitter
Le lien a été expurgé pour protéger les lecteurs de la visite du site de phishing. La BAYC a finalement publié une déclaration près de 12 heures après que l’incident ait été signalé pour la première fois,
« Nos serveurs Discord ont été brièvement exploités aujourd’hui. L’équipe a pris le problème en main et l’a résolu rapidement. Environ 200 ETH de NFTs semblent avoir été touchés. Nous enquêtons toujours, mais si vous avez été touché, envoyez-nous un courriel à discord@yugalabs.io. »
La déclaration indique que l’équipe a « réglé le problème rapidement » et confirme que la valeur totale perdue par les membres est de 200 ETH. À la valeur d’aujourd’hui, cela représente 354 000 $ perdus en un rien de temps. Le manque d’urgence dans le signalement de l’affaire à sa communauté et la brièveté de l’annonce suggèrent un élément de complaisance de la part de Yuga Labs.
Compte du gestionnaire de la communauté compromis.
Selon Peckshield, « 32 NFT ont été volés, dont 1 BAKC » OKHotshot a été l’un des premiers à signaler la brèche en tweetant : « @BorisVagner a vu son compte piraté, ce qui a permis aux escrocs d’exécuter leur attaque de phishing. Plus de 145E en ont été volés ». OKHotshot nous a dit en exclusivité qu’il s’agit d’environ 354 000 $.
« Des pratiques de sécurité appropriées devraient être appliquées à tout projet générant des millions de dollars de revenus. Surtout si le projet est dans le top 10 du marché. Ne pas avoir de responsable de la sécurité augmente considérablement ce risque. »
OKHotshot pense qu’un responsable de la sécurité aurait pu empêcher cela car « il s’occuperait des pratiques de sécurité du discord, de la politique de l’équipe, et s’assurerait qu’elles sont respectées. Aucun membre de l’équipe ne devrait avoir ses messages directs ouverts, cliquer sur des liens ou utiliser son compte principal sur d’autres serveurs, pour ne donner que quelques exemples. » Yuga Labs a plusieurs rôles d’emploi disponibles, mais aucun rôle de sécurité n’est en direct.
Réaction de la communauté
La communauté cryptographique s’est également exprimée sur le sujet dans un fil de discussion publié par l’utilisateur Reddit u/naji102. Les utilisateurs ont discuté de la baisse de confiance envers les NFT en raison de l’augmentation des arnaques provenant même de sources officielles. u/XnoonefromnowhereX a commenté : « Le message comportait des erreurs grammaticales qui auraient dû être un signal d’alarme », tandis que u/CrimsonFox99 a déclaré avec empathie : « Difficile de les blâmer pour cette partie, surtout venant d’une source supposée de confiance. »
Un utilisateur de Twitter a contacté OpenSea et LooksRare en plaidant « Je viens de cliquer sur une fausse réclamation de gobelin. 2 MAYC et 8 cool cats ont été volés. … s’il vous plaît, aidez-moi. Ils m’ont tout volé ». Des appels sont venus d’autres utilisateurs soutenant l’initiative de geler les comptes des voleurs. Il semble que souvent la décentralisation ne soit soutenue que jusqu’à ce que les investisseurs aient besoin d’un soutien centralisé.
BAYC Discord compromis avant
Ce n’est pas la première fois que le serveur Discord est compromis. Le serveur a été piraté en avril 2022, avec le vol du MAYC 8662. L’histoire s’est poursuivie puisqu’on a appris plus tard que la superstar de la pop taïwanaise Jay Chou était le propriétaire du NFT volé d’une valeur de 550 000 dollars. Un profil Discord a été compromis dans les deux cas, ce qui a permis à l’attaque de poster des liens de phishing sur les canaux officiels.
Protection de l’infrastructure web2 liée à web3
Il existe des solutions pour tenter de lutter contre le problème des sites Web frauduleux. La plupart des principaux outils antivirus utilisent des bibliothèques de sites sur liste noire pour aider les utilisateurs à naviguer sur Internet. Cependant, la rapidité et la fréquence des arnaques font que ces outils ne sont pas toujours complètement à jour. Une extension chrome appelée Wallet Guard tente de résoudre ce problème dans l’espace web3.
Wallet Guard a dit à CryptoSlate:
« Tout le monde n’a pas une formation technique et n’a pas été dans l’espace trop longtemps… notre extension ne touche jamais votre portefeuille, elle a seulement besoin de connaître le domaine que vous tentez de visiter. «
L’outil a signalé l’URL du site de phishing posté sur le compte Discord de BorisVagner et aurait pu aider les investisseurs à décider s’ils devaient faire confiance au lien.
Cependant, même des outils comme celui-ci ne sont pas invulnérables. Un escroc sophistiqué pourrait théoriquement s’introduire dans un serveur Discord officiel tout en attaquant un site comme Wallet Guard pour le faire passer pour un site légitime. » Cependant, aucun outil n’est censé être 100% invulnérable à toutes les attaques. Tout moyen permettant aux investisseurs de réduire le risque qu’ils soient victimes d’une fraude doit être encouragé.
Il n’en reste pas moins que chaque escroquerie par phishing attaque un projet de blockchain ; elle passe par une connexion web2 au projet de blockchain. L’ajout de la fonctionnalité web3 à une technologie web2 telle que Discord pourrait augmenter considérablement sa sécurité.
Nous avons contacté BorisVagner pour un commentaire mais nous n’avons pas reçu de réponse.
