BAYCコミュニティマネージャーのDiscordアカウントが侵害され、BAYC公式Discordに詐欺景品が投稿されたと報告されています。
DiscordのようなWeb2アプリケーションは、ブロックチェーンプロジェクトの武器庫の弱点であることが再び示されました。Bored Ape Yacht clubのDiscordサーバーが侵入された後、投資家の口座から175ETH以上が流出した。2022年1月にYuga Labsのソーシャルメディアに昇格したばかりの@BorisVagnerは、Discordアカウントを侵害された。その後、攻撃者はBorisVagnerの公式アカウントを経由して、Yuga Labs Discordサーバーにフィッシングリンクを投稿することができました。
ソースはこちら。Twitter
読者がフィッシングサイトにアクセスするのを防ぐため、リンクは編集されています。BAYCは、最初の報道から約12時間後にようやく、次のような声明を発表しました。
“私たちのDiscordサーバーが今日、短期間悪用されました。チームはすぐにそれをキャッチし、対処しました。約200ETH分のNFTが影響を受けたようです。まだ調査中ですが、もし影響を受けた方は、discord@yugalabs.io までメールをください。”
この声明では、チームが「迅速に対処した」と報告し、メンバーが失った価値の合計が200ETHであることを確認しました。今日の価値で言えば、354kドルがほとんど時間をかけずに消えてしまったことになる。この問題をコミュニティに報告する緊急性の欠如と発表の簡潔さは、Yuga Labsの自己満足の要素を示唆しています。
コミュニティマネージャーアカウントが侵害されました。
BAKC」OKHotshotは侵入を最初に報告した一人で、「@BorisVagnerはアカウントを破られ、詐欺師にフィッシング攻撃をさせた」とツイートしています。145E以上の金が盗まれた” OKHotshotが独占取材したところ、約35万4千ドルだそうです。
“数百万ドルの収益を上げているプロジェクトには、適切なセキュリティ対策が必要です。特に、そのプロジェクトが市場のトップ10に入るものであればなおさらです。セキュリティ管理者がいなければ、そのリスクは著しく高まります」
OKHotshotは、「セキュリティマネージャーは、Discordのセキュリティ慣行、チームポリシーを扱い、それらが守られていることを確認するため、これを防ぐことができたと信じています。チームメンバーがダイレクトメッセージを開いたり、リンクをクリックしたり、他のサーバーで自分のメインアカウントを使ったりしてはいけないのです。Yuga Labsではいくつかのジョブロールが用意されていますが、セキュリティロールはまだ公開されていません。
コミュニティーの反応
。
暗号コミュニティは、Redditユーザーのu/naji102が投稿したスレッドを通じて、この問題についても声を上げていました。u/XnoonefromnowhereXは、”メッセージには赤旗となるべき文法的な誤りがあった “とコメントし、u/CrimsonFox99は、”特に信頼すべきソースから来る、その部分に関して彼らを非難するのは難しい “と共感して述べました。
あるTwitterユーザーはOpenSeaとLooksRareに連絡を取り、”I just clicked a fake goblin claim. “と訴えました。2つのMAYCと8つのクールキャットが盗まれました。…助けてください。彼らは私からすべてを盗んだ。” 他のユーザーからも、泥棒のアカウントを凍結する取り組みを支持する電話がかかってきた。投資家が中央集権的なサポートを必要とするまで、分散化が支持されることが多いようです。
BAYCのDiscordは以前から危険にさらされていた
。
Discordサーバーが危険にさらされるのは今回が初めてではありません。2022年4月にサーバーがハッキングされ、MAYC8662が盗まれた。その後、台湾のポップススーパースターJay Chouが$550k相当の盗まれたNFTの所有者であることが知られ、話は続きました。いずれの場合もDiscordのプロファイルが侵害され、公式チャンネルにフィッシングリンクを投稿する攻撃が可能でした。
Protecting web2 infrastructure tied to web3
詐欺サイトの問題に対処しようとするソリューションがリリースされています。ほとんどの主要なアンチウイルスツールは、ブラックリストに登録されたサイトのライブラリを使用して、ユーザーがインターネットを閲覧する際の手助けをしています。しかし、詐欺のスピードと頻度が高いため、これらのツールが常に最新であるとは限りません。Wallet Guardと呼ばれるクローム拡張機能は、Web3空間におけるこの問題を解決しようとするものである。
ウォレットガードはCryptoSlate:
に語った。
“誰もが技術的なバックグラウンドを持っているわけでも、この分野に長く携わっているわけでもありません。私たちの拡張機能はあなたの財布に触れることはなく、あなたが訪問しようとしているドメインを知る必要があるだけです。
このツールは、BorisVagnerのDiscordアカウントに投稿されたフィッシングサイトのURLにフラグを立て、投資家がそのリンクを信用すべきかどうかを判断する手助けになったかもしれない。
しかし、このようなツールでさえも無敵ではありません。巧妙な詐欺師は理論上、公式のDiscordサーバーに入り込むと同時に、Wallet Guardのようなサイトを攻撃して正規のサイトに見せかけることも可能です。” しかし、どんなツールもすべての攻撃に対して100%無防備であることは期待できません。投資家が詐欺の被害に遭う可能性を減らすことができるのであれば、どんな方法でも奨励されるべきです。
それでも、各フィッシング詐欺は、ブロックチェーン・プロジェクトの詐欺を攻撃し、それはブロックチェーン・プロジェクトへのweb2接続を介してやってきます。Discordのようなweb2技術にweb3機能を追加すれば、その安全性を劇的に高めることができるだろう。
WEはBorisVagnerにコメントを求めたが、回答は得られなかった.
。
