De BAYC Community Manager heeft naar verluidt zijn Discord account laten kraken wat resulteerde in frauduleuze weggevertjes die op de officiële BAYC Discord werden gepost.
Web2 applicaties zoals Discord zijn opnieuw de zwakke schakel gebleken in het arsenaal van blockchain projecten. Meer dan 175 ETH is weggesluisd van de rekeningen van investeerders nadat de Bored Ape Yacht club Discord server werd gekraakt. @BorisVagner, die pas in januari 2022 werd gepromoveerd tot Social Media voor Yuga Labs, werd zijn Discord-account gekraakt. De aanvaller was vervolgens in staat om phishing-links te plaatsen via BorisVagners officiële account op de Yuga Labs Discord-server.
Bron: Twitter
De link is bewerkt om lezers te beschermen tegen een bezoek aan de phishingsite. BAYC heeft uiteindelijk een verklaring vrijgegeven, bijna 12 uur nadat het voor het eerst werd gemeld, waarin staat,
“Onze Discord servers werden vandaag kortstondig misbruikt. Het team heeft het snel ontdekt en aangepakt. Ongeveer 200 ETH aan NFTs lijken te zijn beïnvloed. We zijn nog steeds bezig met het onderzoek, maar als jij ook getroffen bent, email ons dan op discord@yugalabs.io.”
De verklaring meldde dat het team “het snel aanpakte” en bevestigde dat de totale waarde die leden verloren 200 ETH was. Tegen de waarde van vandaag is dat $354k weg in bijna geen tijd. Het gebrek aan urgentie bij het melden van de kwestie aan de gemeenschap en de beknoptheid van de aankondiging suggereert een element van zelfgenoegzaamheid bij Yuga Labs.
Community Manager account gecompromitteerd.
BAKC. OKHotshot was een van de eersten die de inbreuk meldde door te tweeten: “@BorisVagner werd zijn account gekraakt, waardoor de oplichters hun phishing aanval konden uitvoeren. Meer dan 145E werd gestolen.” OKHotshot vertelde ons exclusief dat het rond de $354k is.
“Correcte veiligheidspraktijken moeten worden gehandhaafd voor elk project met miljoenen aan inkomsten. Vooral als het project in de top 10 van de markt zit. Het niet hebben van een beveiligingsmanager verhoogt dat risico aanzienlijk.”
Hotshot gelooft dat een beveiligingsmanager dit had kunnen voorkomen omdat “zij discord beveiligingspraktijken en teambeleid zouden behandelen en ervoor zorgen dat deze worden nageleefd. Geen enkel teamlid zou zijn direct messages open mogen hebben staan, op links mogen klikken of zijn hoofdaccount op andere servers mogen gebruiken, om maar een paar voorbeelden te noemen.” Yuga Labs heeft verschillende functies beschikbaar, maar er zijn geen beveiligingsfuncties live.
Community reactie
De cryptogemeenschap was ook vocaal over de kwestie via een thread gepost door Reddit-gebruiker u/naji102. Gebruikers bespraken de daling van het vertrouwen in NFT’s als gevolg van de toename van oplichting die zelfs afkomstig is van officiële bronnen. u/XnoonefromnowhereX merkte op: “Het bericht had grammaticale fouten die een rode vlag hadden moeten zijn,” terwijl u/CrimsonFox99 empathisch verklaarde: “Moeilijk om hen dat deel kwalijk te nemen, vooral komende van een veronderstelde betrouwbare bron.”
Een Twitter-gebruiker reikte OpenSea en LooksRare de hand met het pleidooi “Ik klikte net op een nep goblin claim. 2 MAYC en 8 cool cats zijn gestolen. … help alstublieft. Ze hebben alles van me gestolen.” Er kwamen oproepen van andere gebruikers die het initiatief steunden om de accounts van de dief te bevriezen. Het lijkt erop dat decentralisatie vaak alleen wordt gesteund totdat investeerders gecentraliseerde steun nodig hebben.
BAYC Discord gecompromitteerd voor
8662 werd gestolen. Het verhaal ging verder toen later bekend werd dat de Taiwanese pop superster Jay Chou de eigenaar was van de gestolen NFT ter waarde van $550k. Bij beide gelegenheden werd een Discord-profiel gecompromitteerd, waardoor de aanval phishinglinks op officiële kanalen kon plaatsen.
Bescherming van web2-infrastructuur gekoppeld aan web3
Er worden oplossingen uitgebracht om het probleem van oplichterswebsites te bestrijden. De meeste grote antivirusprogramma’s gebruiken bibliotheken van op de zwarte lijst geplaatste sites om gebruikers te helpen bij het surfen op internet. Door de snelheid en frequentie van oplichterij zijn deze tools echter niet altijd volledig up-to-date. Een chrome extensie genaamd Wallet Guard probeert dit probleem op te lossen in de web3 ruimte.
Wallet Guard vertelde CryptoSlate:
“Niet iedereen heeft een technische achtergrond of is al te lang in de ruimte… onze extensie raakt nooit je portemonnee aan, het hoeft alleen maar te weten welk domein je probeert te bezoeken. “
De tool markeerde de URL van de phishing site die gepost was op BorisVagner’s Discord account en had beleggers kunnen helpen om te beslissen of ze de link moesten vertrouwen.
Maar zelfs tools als deze zijn niet onkwetsbaar. Een geraffineerde oplichter zou theoretisch in een officiële Discord server kunnen binnendringen terwijl hij ook een site als Wallet Guard zou kunnen aanvallen om het een legitieme site te laten lijken.” Er wordt echter niet verwacht dat een tool 100% onkwetsbaar is voor alle aanvallen. Elke manier waarop beleggers de kans kunnen verkleinen dat ze het slachtoffer worden van fraude moet worden aangemoedigd.
Toch, elke phishing scam die een blockchain project scam aanvalt komt via een web2 verbinding met het blockchain project. Het toevoegen van web3-functionaliteit aan web2-technologie zoals Discord zou de veiligheid ervan drastisch kunnen verhogen.
WE hebben BorisVagner om commentaar gevraagd, maar hebben geen reactie ontvangen.
