Axie Inifinity anunciou que os hackers comprometeram o Bot MEE6 a adicionar permissões para uma conta Jiho falsa.
Axie Infinity anunciou na sua página do Twitter que havia um compromisso do bot MEE6 no seu servidor Discord. A equipa do MEE6 negou que tenha havido um ataque ao seu bot.
O bot MEE6 é bastante popular no Discord, com muitos servidores a utilizá-lo para automatizar mensagens e outras funções.
Axie Infinity disse a 18 de Maio que os atacantes comprometeram o bot e usaram-no para adicionar permissões para uma falsa conta Jiho que subsequentemente utilizaram para publicar um anúncio falso de menta.
1/ Houve um compromisso do bot Mee6 que foi instalado no servidor principal do Axie. Os atacantes usaram esse bot para adicionar permissões a uma conta Jiho falsa, que depois publicou um anúncio falso sobre um mint.
– Axie Infinity (@AxieInfinity) May 18, 2022
Felizmente, os criadores descobriram-na rapidamente. Eles removeram o bot comprometido e apagaram as mensagens. De acordo com a plataforma de jogo, nunca fará uma menta surpresa e normalmente anuncia todos esses eventos no Twitter, Facebook, Discord, e Subtack.
No entanto, também dizia que alguns utilizadores poderiam ainda ser capazes de ver as mensagens eliminadas até que reiniciassem a sua Discórdia. Pelo menos um utilizador afirma ter perdido um NFT e Domínio devido ao hack.
Axie diz que outros sofreram a mesma exploração
Axie Infinity declarou que o compromisso não é particular ao seu servidor e que muitos servidores com MEE6 Bot já enfrentaram problemas semelhantes antes. Cool Cats, RTFKT, PXN, PROOF/Moonbirds, e Memeland, todos relataram um compromisso das suas contas administrativas devido ao bot.
4/ Isto não foi exclusivo do Axie e aconteceu com muitos servidores com o bot Mee6 instalado.
– Axie Infinity (@AxieInfinity) May 18, 2022
De acordo com os que estão familiarizados com a segurança Discord, os hackers provavelmente atacaram primeiro as contas administrativas. Depois criaram uma função de reacção do bot MEE6, que o papel de administrador para outra conta.
Ao fazerem isto, podiam enviar mensagens de webbook sem revelar a conta de administrador comprometida.
MEE6 nega qualquer hack
MEE6 negou a alegação de um compromisso no seu servidor Discord. Disse que não houve compromisso de nenhuma comunidade NFT devido ao seu bot.
“Não fomos contactados por nenhum verdadeiro proprietário da comunidade na altura desta mensagem, nem através de Discord ou de qualquer outro Canal de Comunicação de Apoio. Verificámos as situações com os nossos engenheiros, e não foram detectados dados de actividades invulgares”, diz a declaração.
Axie Infinity sofreu recentemente uma exploração onde hackers roubaram mais de $600 milhões na sua ficha nativa AXS. A ficha tem lutado desde a exploração, mesmo depois de a empresa ter angariado novos fundos para reembolsar os utilizadores.
A confiança dos utilizadores diminuiu e continua a diminuir devido a atrasos e preocupações crescentes com a segurança. A AXS está actualmente a negociar a $21,6 de um ATH de $164,9 em Novembro de 2021.
