Ponoć administrator społeczności BAYC miał naruszone swoje konto Discord, co spowodowało, że na oficjalnym Discordzie BAYC pojawiły się oszukańcze nagrody.
Aplikacje Web2, takie jak Discord, ponownie okazały się słabym ogniwem w arsenale projektów blockchain. Ponad 175 ETH zostało wydrenowanych z kont inwestorów po tym, jak naruszono serwer Discord klubu Bored Ape Yacht. Konto na Discordzie zostało złamane przez @BorisVagner, który dopiero w styczniu 2022 r. awansował na stanowisko Social Media w Yuga Labs. Atakujący mógł następnie umieścić linki phishingowe za pośrednictwem oficjalnego konta BorisaVagnera na serwerze Discord Yuga Labs.
Źródło: Twitter
Link został zredagowany, aby chronić czytelników przed odwiedzeniem strony phishingowej. BAYC w końcu wydało oświadczenie prawie 12 godzin po tym, jak po raz pierwszy poinformowano o tym fakcie, stwierdzając,
„Nasze serwery Discord zostały dziś na krótko wykorzystane. Zespół szybko to wychwycił i zajął się sprawą. Wygląda na to, że zaatakowane zostały NFT o wartości około 200 ETH. Wciąż prowadzimy dochodzenie, ale jeśli zostałeś dotknięty tym problemem, napisz do nas na adres discord@yugalabs.io.”
W oświadczeniu poinformowano, że zespół „szybko się tym zajął” i potwierdzono, że całkowita wartość utracona przez członków wynosi 200 ETH. Przy dzisiejszym kursie oznacza to utratę 354 tys. dolarów w niemalże mgnieniu oka. Brak pilności w zgłoszeniu sprawy do społeczności i zwięzłość oświadczenia sugeruje element samozadowolenia Yuga Labs.
Konto menedżera społeczności zostało naruszone.
BAKC” OKHotshot był jednym z pierwszych, którzy poinformowali o naruszeniu, pisząc na Twitterze: „@BorisVagner uzyskał dostęp do swojego konta, co pozwoliło oszustom na przeprowadzenie ataku phishingowego. Skradziono ponad 145E”. OKHotshot powiedział nam na wyłączność, że chodzi o około 354 tys. dolarów.
„Właściwe praktyki bezpieczeństwa powinny być przestrzegane w przypadku każdego projektu przynoszącego milionowe przychody. Zwłaszcza jeśli projekt jest w pierwszej dziesiątce na rynku. Brak kierownika ds. bezpieczeństwa znacznie zwiększa to ryzyko. „
OKHotshot uważa, że menedżer ds. bezpieczeństwa mógłby temu zapobiec, ponieważ „zajmowałby się praktykami bezpieczeństwa w discordzie, polityką zespołu i upewniałby się, że są one przestrzegane. Żaden członek zespołu nie powinien mieć otwartych swoich wiadomości bezpośrednich, klikać na linki czy używać swoich głównych kont na innych serwerach, by wymienić tylko kilka przykładów.” W Yuga Labs dostępnych jest kilka stanowisk, ale żadne stanowiska związane z bezpieczeństwem nie są dostępne na żywo.
Reakcja społeczności
Społeczność kryptowalutowa również odniosła się do tej sprawy w wątku opublikowanym przez użytkownika Reddit u/naji102. Użytkownicy dyskutowali nad spadkiem zaufania do NFT z powodu wzrostu liczby oszustw, które pochodzą nawet z oficjalnych źródeł. u/XnoonefromnowhereX skomentował, „Wiadomość zawierała błędy gramatyczne, które powinny być czerwoną flagą”, podczas gdy u/CrimsonFox99 stwierdził z empatią, „Trudno ich winić za tę część, zwłaszcza jeśli pochodziła z rzekomo zaufanego źródła.”
Jeden z użytkowników Twittera zwrócił się do OpenSea i LooksRare z prośbą: „Właśnie kliknąłem na fałszywe roszczenie goblina. Skradziono 2 MAYC i 8 fajnych kotów. … Proszę, pomóżcie. Ukradli mi wszystko”. Telefony od innych użytkowników wspierających inicjatywę zamrożenia kont złodziei. Wygląda na to, że często decentralizacja jest wspierana tylko do czasu, gdy inwestorzy potrzebują scentralizowanego wsparcia.
BAYC Discord skompromitowany wcześniej
To nie pierwszy raz, kiedy serwer Discord został skompromitowany. Serwer został zhakowany w kwietniu 2022 roku, a MAYC 8662 został skradziony. Później okazało się, że właścicielem skradzionego NFT wartego 550 tys. dolarów jest tajwańska gwiazda pop Jay Chou. W obu przypadkach naruszony został profil Discord, co umożliwiło atakującym zamieszczenie linków phishingowych na oficjalnych kanałach.
Ochrona infrastruktury web2 powiązanej z web3
Wypuszczane są rozwiązania, które próbują zwalczać problem witryn wyłudzających informacje. Większość głównych narzędzi antywirusowych wykorzystuje biblioteki czarnych list witryn, aby pomóc użytkownikom w przeglądaniu Internetu. Jednak szybkość i częstotliwość występowania oszustw sprawia, że narzędzia te nie zawsze są w pełni aktualne. Rozszerzenie do Chrome o nazwie Wallet Guard próbuje rozwiązać ten problem w przestrzeni web3.
Wallet Guard powiedział CryptoSlate:
„Nie każdy ma wykształcenie techniczne, ani nie jest w tej przestrzeni zbyt długo… nasze rozszerzenie nigdy nie dotyka portfela użytkownika, musi jedynie znać domenę, którą użytkownik próbuje odwiedzić. „
Narzędzie oznaczyło adres URL strony phishingowej umieszczonej na koncie Discord BorisaVagnera i mogło pomóc inwestorom w podjęciu decyzji, czy powinni zaufać temu linkowi.
Jednak nawet narzędzia takie jak to nie są odporne na ataki. Wyrafinowany oszust mógłby teoretycznie dostać się na oficjalny serwer Discord, atakując jednocześnie stronę taką jak Wallet Guard, aby sprawić wrażenie, że jest to legalna strona. Nie można jednak oczekiwać, że jakiekolwiek narzędzie będzie w 100% odporne na wszystkie ataki. Każdy sposób, w jaki inwestorzy mogą zmniejszyć prawdopodobieństwo, że padną ofiarą oszustwa, powinien być wspierany.
Mimo to każde oszustwo phishingowe atakujące oszustwo związane z projektem blockchain przechodzi przez połączenie web2 z projektem blockchain. Dodanie funkcji web3 do technologii web2, takiej jak Discord, mogłoby radykalnie zwiększyć jej bezpieczeństwo.
Zwróciliśmy się do BorisaVagnera z prośbą o komentarz, ale nie otrzymaliśmy odpowiedzi.
