Kilka zhakowanych kont na Twitterze zaczęło w tym tygodniu promować fałszywą zrzutkę Ape Coin, w wyniku czego ofiary straciły ponad 1 milion dolarów
W wyniku phishingu na Twitterze włamano się na zweryfikowane konta, z których niektóre miały zdjęcia profilowe Bored Ape Yacht Club (BAYC). Oszustwo miało na celu wyłudzenie od użytkowników kryptowalut nieco ponad 1 miliona dolarów w tym tygodniu poprzez fałszywą zrzutkę ApeCoin.
Dla tych, którzy przegapili zeszłotygodniowe wiadomości, ApeCoin jest kryptowalutą, którą mogą posługiwać się posiadacze BAYC i Mutant Ape Yacht Club (MAYC). Został on uruchomiony przez ApeCoin DAO, a token będzie zasilał kilka projektów spin-off z franczyzy BAYC.
W tym tygodniu fałszywy zrzut zwabił ofiary pozornie legalnym tweetem pochodzącym ze zhakowanych kont, który brzmiał: „Uruchomienie Ape Coin okazało się wielkim sukcesem! Wspólnie podjęliśmy decyzję o dokonaniu zrzutki dla aktywnych traderów/posiadaczy NFT. Jeśli nie posiadasz jeszcze NFT, możesz się o nie ubiegać po uiszczeniu opłaty w wysokości 0,33 ETH!”.
Następnie tweet załączał link jako przynętę do oszustwa.
Unpacking the Ape Coin airdrop scam
NFT kolekcjoner Bored Alien Silver Ape był jednym z najbardziej poszkodowanych. Według Etherscan stracił on w wyniku ataku NFT BAYC i MAYC o wartości ponad pół miliona dolarów.
Natychmiast obwinił konto o nazwie Bhawana Ghimire, które prawdopodobnie pochodzi od nazwiska byłego dyrektora generalnego Związku Krykieta w Nepalu.
Zweryfikowane konto podszywało się pod założyciela BAYC.
Rip kolejny oszukany właściciel Ape, który stracił NFT o wartości 500 tys. dolarów (BAYC, MAYC, & więcej)
Przestań podłączać swój portfel & zatwierdzać transakcje na podejrzanych stronach
Adres oszusta:https://t.co/ju4jS4a0fl pic.twitter.com/RIbytV0Atu
– zachxbt (@zachxbt) 25 marca 2022
AnChain.AI zamieścił szczegółowy opis kradzieży i zidentyfikował trzy kolejne skompromitowane konta zaangażowane w rozprzestrzenianie ataku: Dana.eth, który podawał się również za założyciela BAYC, dziennikarza sportowego Gavina Quinna oraz muzyka Mila.
(8/11) Oprócz @danadentata & @pizza4liam, wykorzystano jeszcze trzecie zhakowane zweryfikowane konto (@gavinquinn97), jak widać poniżej cc: @MelaniePopesco (i zwróć uwagę na adres udostępniony przez @theRealNFTKing; https://t. co/SJ80Pbz56J) pic.twitter.com/xnWyMbcoWC
– AnChain.AI (@AnChainAI) 22 marca 2022
Na koncie o nazwie „NFTEthics” zidentyfikowano również dziennikarza biznesowego Todda Wassermana, którego konto zostało naruszone w wyniku oszustwa.
Just for the avoidance of doubt. Zweryfikowane konto @BhawanaCAN jest oczywistym oszustwem promującym „Ape Coin airdrop”, a także zweryfikowane konto @ToddWasserman zostało zhakowane i użyte do oszustwa.
Prawie nic nie jest tym, czym się wydaje, a jeśli wydaje się to zbyt piękne, by było prawdziwe, to tak właśnie jest. pic.twitter.com/skw6d6jnFi– NFT Ethics (@NFTethics) Marzec 24, 2022
Oprócz przejętych kont, wiele zweryfikowanych profili zostało wyłudzonych ze swoich kryptowalut, w tym podcaster NFT 365 Fanzo (@iSocialFanz).
Fanzo spędził dekadę w Departamencie Obrony Stanów Zjednoczonych, skupiając się na cyberbezpieczeństwie, ale nawet on został wykorzystany, mimo że nigdy nie kliknął na złośliwy link.
(6/11) Co dziwne, wydaje się, że Fanzo wykorzystał swój portfel, mimo że nigdy nie kliknął złośliwego linku pic.twitter.com/lmnY9JiXZJ
– AnChain.AI (@AnChainAI) 22 marca 2022
Podobnie, Aarontc.eth stracił NFT o wartości ponad 34 Ethereum, mimo że nigdy nie połączył swojego portfela ze złośliwym linkiem.
(7/11) Wygląda na to, że inne wykorzystane konto (@aarontcadena) straciło NFT o łącznej wartości ponad 34 ETH, mimo że nigdy nie podłączyło swojego portfela do złośliwego linku pic.twitter.com/MTdUjZZfPD
– AnChain.AI (@AnChainAI) 22 marca 2022
Wygląda na to, że wszystkie zagrożone konta wróciły do swoich właścicieli.
Do tego czasu jednak oszustwo okazało się lukratywnym przedsięwzięciem dla napastników, którzy podobno zgarnęli ponad 1 milion dolarów w kryptowalutach.