Il Community Manager del BAYC avrebbe subito una violazione del suo account Discord che ha portato alla pubblicazione di offerte truffaldine sul Discord ufficiale del BAYC.
Le applicazioni web2 come Discord si sono dimostrate ancora una volta l’anello debole nell’arsenale dei progetti blockchain. Oltre 175 ETH sono stati drenati dai conti degli investitori dopo che il server Discord del Bored Ape Yacht club è stato violato. @BorisVagner, che è stato promosso a Social Media per Yuga Labs solo nel gennaio 2022, ha subito una violazione del suo account Discord. L’aggressore è stato quindi in grado di pubblicare link di phishing attraverso l’account ufficiale di BorisVagner sul server Discord di Yuga Labs.
Fonte: Twitter
Il link è stato eliminato per evitare che i lettori visitino il sito di phishing. Il BAYC ha finalmente rilasciato una dichiarazione quasi 12 ore dopo la prima segnalazione, affermando che,
“I nostri server Discord sono stati brevemente sfruttati oggi. Il team ha individuato e risolto rapidamente il problema. Sembra che siano stati colpiti circa 200 ETH di NFT. Stiamo ancora indagando, ma se siete stati colpiti, inviateci un’email a discord@yugalabs.io”.
La dichiarazione riporta che il team ha “affrontato il problema rapidamente” e conferma che il valore totale perso dai membri è di 200 ETH. Al valore odierno, si tratta di 354.000 dollari persi in pochissimo tempo. La mancanza di urgenza nel riferire la questione alla comunità e la brevità dell’annuncio suggeriscono un elemento di compiacimento da parte di Yuga Labs.
Account del Community Manager compromesso.
BAKC” OKHotshot è stato uno dei primi a segnalare la violazione, twittando: “@BorisVagner ha subito la violazione del suo account, il che ha permesso ai truffatori di eseguire il loro attacco di phishing. Sono stati rubati oltre 145 euro”. OKHotshot ci ha detto in esclusiva che si tratta di circa 354.000 dollari.
“Le corrette pratiche di sicurezza dovrebbero essere rispettate per qualsiasi progetto con entrate milionarie. Soprattutto se il progetto è nella top 10 del mercato. La mancanza di un responsabile della sicurezza aumenta notevolmente il rischio. “
OKHotshot ritiene che un responsabile della sicurezza avrebbe potuto evitare l’accaduto, in quanto “si occuperebbe delle pratiche di sicurezza di Discord e della politica del team e si assicurerebbe che vengano rispettate. Nessun membro del team dovrebbe avere i messaggi diretti aperti, cliccare sui link o usare i propri account principali su altri server, solo per fare qualche esempio”. Yuga Labs ha diversi ruoli disponibili, ma non ci sono ruoli di sicurezza in essere.
Reazione della comunità
Anche la comunità crittografica si è espressa in merito al problema attraverso un thread pubblicato dall’utente Reddit u/naji102. Gli utenti hanno discusso del calo di fiducia nei confronti degli NFT a causa dell’aumento delle truffe che provengono anche da fonti ufficiali. u/XnoonefromnowhereX ha commentato: “Il messaggio presentava errori grammaticali che avrebbero dovuto essere un campanello d’allarme”, mentre u/CrimsonFox99 ha affermato empaticamente: “Difficile biasimarli per questa parte, soprattutto se provengono da una presunta fonte affidabile”.
Un utente di Twitter ha contattato OpenSea e LooksRare dicendo: “Ho appena cliccato su una falsa richiesta di goblin. Sono stati rubati 2 MAYC e 8 cool cats. … per favore aiutatemi. Mi hanno rubato tutto”. Sono arrivate chiamate da altri utenti che sostengono l’iniziativa di bloccare gli account dei ladri. Sembra che spesso la decentralizzazione sia sostenuta solo finché gli investitori non hanno bisogno di un supporto centralizzato.
BAYC Discord compromesso prima
Non è la prima volta che il server Discord viene compromesso. Il server è stato violato nell’aprile 2022, con il furto del MAYC 8662. La storia è proseguita quando si è saputo che la superstar del pop taiwanese Jay Chou era il proprietario dell’NFT rubato del valore di 550.000 dollari. In entrambe le occasioni è stato compromesso un profilo Discord, consentendo all’attacco di pubblicare link di phishing sui canali ufficiali.
Proteggere le infrastrutture web2 legate al web3
Ci sono soluzioni in fase di rilascio per cercare di combattere il problema dei siti web truffa. La maggior parte dei principali strumenti antivirus utilizza librerie di siti inseriti nella lista nera per aiutare gli utenti a navigare in Internet. Tuttavia, la velocità e la frequenza delle truffe fanno sì che questi strumenti non siano sempre completamente aggiornati. Un’estensione per chrome chiamata Wallet Guard tenta di risolvere questo problema nello spazio web3.
Wallet Guard ha dichiarato a CryptoSlate:
“Non tutti hanno un background tecnico e non hanno frequentato a lungo questo spazio… la nostra estensione non tocca mai il vostro portafoglio, ma deve solo conoscere il dominio che state cercando di visitare. “
Lo strumento ha segnalato l’URL del sito di phishing pubblicato sull’account Discord di BorisVagner e avrebbe potuto aiutare gli investitori a decidere se fidarsi del link.
Tuttavia, anche strumenti come questo non sono invulnerabili. Un truffatore sofisticato potrebbe teoricamente entrare in un server Discord ufficiale e allo stesso tempo attaccare un sito come Wallet Guard per farlo sembrare un sito legale”. Tuttavia, nessuno strumento può essere invulnerabile al 100% a tutti gli attacchi. Ogni modo in cui gli investitori possono ridurre le possibilità di cadere vittime di frodi dovrebbe essere incoraggiato.
Tuttavia, ogni truffa di phishing che attacca un progetto blockchain passa attraverso una connessione web2 al progetto blockchain. L’aggiunta di funzionalità web3 alla tecnologia web2 come Discord potrebbe aumentarne drasticamente la sicurezza.
Abbiamo contattato BorisVagner per un commento, ma non abbiamo ricevuto risposta.
