O Gestor da Comunidade BAYC teve a sua conta Discord violada, o que resultou na afixação de mensagens fraudulentas na Discord oficial da BAYC.
Web2 aplicações como a Discord demonstraram novamente ser o elo fraco no arsenal de projectos de cadeias de bloqueio. Mais de 175 ETH foram drenados das contas dos investidores após o servidor Discord do Bored Ape Yacht Club ter sido violado. @BorisVagner, que só foi promovido a Social Media para os Laboratórios Yuga em Janeiro de 2022, teve a sua conta Discord violada. O atacante pôde então publicar links de phishing através da conta oficial de BorisVagner no servidor Discord do Yuga Labs.
Fonte: Twitter
O link foi redigido para proteger os leitores de visitarem o site de phishing. A BAYC publicou finalmente uma declaração quase 12 horas após ter sido noticiada pela primeira vez,
“Os nossos servidores Discord foram hoje brevemente explorados. A equipa foi apanhada e abordou-a rapidamente. Cerca de 200 ETH de NFTs parecem ter sido afectados. Ainda estamos a investigar, mas se foi impactado, envie-nos um email para discord@yugalabs.io”.
A declaração relatou que a equipa “abordou-a rapidamente” e confirmou o valor total perdido pelos membros como 200 ETH. Com o valor de hoje, que é de 354 mil dólares, desapareceu em quase nenhum momento. A falta de urgência em relatar o assunto à sua comunidade e a brevidade do anúncio sugere um elemento de complacência por parte de Yuga Labs.
Conta de Gestor Comunitário comprometida.
De acordo com Peckshield, “32 NFTs foram roubados, incluindo 1 BAKC” OKHotshot foi um dos primeiros a relatar a violação tweeting, “@BorisVagner teve a sua conta violada, o que deixou os golpistas executarem o seu ataque de phishing. Mais de 145E entrou foi roubado”. OKHotshot disse-nos exclusivamente que rondava os $354k.
“Devem ser mantidas práticas de segurança adequadas para qualquer projecto que faça milhões em receitas. Especialmente se o projecto estiver no top 10 do mercado. Não ter um gestor de segurança aumenta significativamente esse risco”
OKHotshot acredita que um gestor de segurança poderia ter evitado isto, pois “eles tratariam de práticas de segurança discordantes, política de equipa, e assegurariam o seu cumprimento. Nenhum membro da equipa deveria ter as suas mensagens directas abertas, estar a clicar em links ou a utilizar as suas contas principais noutros servidores apenas para dar alguns exemplos”. Yuga Labs têm várias funções disponíveis, mas nenhuma função de segurança é ao vivo.
Reacção comunitária
A comunidade criptográfica também se pronunciou sobre o assunto através de um tópico publicado pelo utilizador Reddit u/naji102. Os utilizadores discutiram a queda de confiança para os NFTs devido ao aumento de esquemas que até vêm de fontes oficiais. u/XnoonefnowhereX comentou, “A mensagem tinha erros gramaticais que deveriam ter sido uma bandeira vermelha,” enquanto que u/CrimsonFox99 afirmou empatéticamente, “Difícil culpá-los nessa parte, especialmente vindo de uma suposta fonte de confiança”.
Um utilizador do Twitter contactou o OpenSea e LooksRare alegando “Acabei de clicar numa reclamação falsa de goblin. 2 MAYC e 8 gatos fixes foram roubados. … por favor, ajudem. Eles roubaram tudo de mim”. Vieram chamadas de outros utilizadores que apoiavam a iniciativa de congelar as contas do ladrão. Parece que muitas vezes a descentralização só é apoiada até os investidores precisarem de apoio centralizado.
BAYC Discórdia comprometida antes
Esta não é a primeira vez que o servidor Discord foi comprometido. O servidor foi pirateado em Abril de 2022, com o MAYC 8662 a ser roubado. A história continuou pois mais tarde ficou conhecido que a super estrela pop taiwanesa Jay Chou era o proprietário do NFT roubado no valor de $550k. Um perfil discordante foi comprometido em ambas as ocasiões, permitindo que o ataque postasse ligações de phishing nos canais oficiais.
Proteger a infra-estrutura web2 ligada à web3
Há soluções que estão a ser lançadas para tentar combater o problema dos sites fraudulentos. A maioria das principais ferramentas antivírus utilizam bibliotecas de sítios na lista negra para ajudar os utilizadores a navegar na Internet. Contudo, a velocidade e frequência dos golpes significam que estas ferramentas podem nem sempre estar completamente actualizadas. Uma extensão cromada chamada Wallet Guard tenta resolver este problema no espaço web3.
O Wallet Guard disse ao CryptoSlate:
“Nem toda a gente tem uma formação técnica nem esteve demasiado tempo no espaço… a nossa extensão nunca toca na sua carteira só precisa de saber o domínio que está a tentar visitar”.
A ferramenta assinalou o URL do site de phishing postado na conta Discord da BorisVagner e poderia ter ajudado os investidores a decidir se deveriam confiar no link.
No entanto, mesmo ferramentas como esta não são invulneráveis. Um burlão sofisticado poderia teoricamente entrar num servidor oficial da Discord ao mesmo tempo que atacava um site como o Wallet Guard para o fazer parecer ser um site legítimo”. No entanto, não se espera que nenhuma ferramenta seja 100% invulnerável a todos os ataques. Qualquer forma de os investidores poderem reduzir a hipótese de serem vítimas de fraude deve ser encorajada.
Ainda assim, cada esquema de phishing ataca um esquema do projecto da cadeia de bloqueio que vem através de uma ligação web2 ao projecto da cadeia de bloqueio. A adição da funcionalidade web3 à tecnologia web2, como a Discord, poderia aumentar drasticamente a sua segurança.
Fomos contactados pela BorisVagner para comentários mas não recebemos resposta.
