Сообщественный менеджер BAYC, как сообщается, взломал свой аккаунт Discord, в результате чего на официальном Discord BAYC были размещены мошеннические розыгрыши.
Веб2-приложения, такие как Discord, снова оказались слабым звеном в арсенале блокчейн-проектов. Более 175 ETH было выведено со счетов инвесторов после взлома Discord-сервера яхт-клуба Bored Ape. У @BorisVagner, который только в январе 2022 года был назначен на должность специалиста по социальным медиа в Yuga Labs, был взломан аккаунт Discord. Затем злоумышленник смог разместить фишинговые ссылки через официальный аккаунт BorisVagner на сервере Yuga Labs Discord.
Источник: Twitter
Ссылка была отредактирована, чтобы защитить читателей от посещения фишингового сайта. BAYC наконец выпустила заявление спустя почти 12 часов после того, как об этом впервые стало известно, в котором говорится следующее,
«Сегодня наши серверы Discord подверглись кратковременной атаке. Команда быстро обнаружила и устранила проблему. Похоже, что пострадали NFT на сумму около 200 ETH. Мы продолжаем расследование, но если вы пострадали, напишите нам по адресу discord@yugalabs.io».
В заявлении сообщается, что команда «быстро устранила проблему» и подтвердила, что общая стоимость, потерянная участниками, составляет 200 ETH. По сегодняшнему курсу это $354 тыс., которые пропали практически мгновенно. Отсутствие срочности в информировании сообщества о случившемся и краткость заявления говорит о наличии элемента самоуспокоенности со стороны Yuga Labs.
Учетная запись менеджера сообщества взломана.
По данным Peckshield, «было украдено 32 NFT, включая 1 BAKC». OKHotshot одним из первых сообщил о взломе в твиттере: «У @BorisVagner взломали аккаунт, что позволило мошенникам осуществить фишинговую атаку. Было украдено более 145 евро». OKHotshot сообщил нам эксклюзивно, что сумма составляет около $354 тыс.
«Надлежащая практика безопасности должна соблюдаться для любого проекта, приносящего миллионные доходы. Особенно если проект находится в топ-10 на рынке. Отсутствие менеджера по безопасности значительно увеличивает этот риск»
OKHotshot считает, что менеджер по безопасности мог бы предотвратить это, так как «он бы занимался практикой безопасности discord, политикой команды и следил за тем, чтобы они соблюдались. Ни один член команды не должен иметь открытые прямые сообщения, переходить по ссылкам или использовать свои основные аккаунты на других серверах, и это лишь несколько примеров». В Yuga Labs есть несколько вакансий, но ни одна из них не связана с безопасностью.
Реакция сообщества
Криптосообщество также активно отреагировало на проблему в теме, опубликованной пользователем Reddit u/naji102. Пользователи обсудили падение доверия к НФТ в связи с ростом мошенничества, исходящего даже от официальных источников. u/XnoonefromnowhereX прокомментировал: «В сообщении были грамматические ошибки, которые должны были стать тревожным сигналом», а u/CrimsonFox99 сочувственно заявил: «Трудно винить их в этой части, особенно исходящей от якобы надежного источника».
Один из пользователей Twitter обратился к OpenSea и LooksRare с мольбой: «Я только что нажал на фальшивую заявку гоблина. Были украдены 2 MAYC и 8 крутых котов. … Пожалуйста, помогите. Они украли у меня все». Поступали звонки от других пользователей, поддерживающих инициативу заморозить счета воров. Похоже, что часто децентрализацию поддерживают только до тех пор, пока инвесторам не понадобится централизованная поддержка.
BAYC Discord скомпрометирован раньше
Это не первый случай взлома сервера Discord. Сервер был взломан в апреле 2022 года, при этом был украден MAYC 8662. История получила продолжение, когда позже стало известно, что тайваньская поп-суперзвезда Джей Чоу является владельцем украденного NFT стоимостью 550 тысяч долларов. В обоих случаях был взломан профиль Discord, что позволило атаке разместить фишинговые ссылки на официальных каналах.
Защита инфраструктуры web2, связанной с web3
В настоящее время выпускаются решения, направленные на борьбу с проблемой мошеннических веб-сайтов. Большинство основных антивирусных инструментов используют библиотеки сайтов из черного списка, чтобы помочь пользователям при работе в Интернете. Однако скорость и частота появления мошеннических сайтов означает, что эти инструменты не всегда могут быть полностью актуальными. Расширение для хрома под названием Wallet Guard пытается решить эту проблему в пространстве web3.
Wallet Guard сообщил CryptoSlate:
«Не все имеют техническое образование или слишком долго находятся в этом пространстве… Наше расширение никогда не касается вашего кошелька, ему нужно знать только домен, который вы пытаетесь посетить. «
Утилита отметила URL фишингового сайта, размещенного на аккаунте Discord Бориса Вагнера, и могла бы помочь инвесторам решить, стоит ли доверять этой ссылке.
Однако даже такие инструменты не являются неуязвимыми. Изощренный мошенник теоретически может проникнуть на официальный сервер Discord и одновременно атаковать такой сайт, как Wallet Guard, чтобы создать впечатление, что это легальный сайт». Однако ни один инструмент не может быть на 100% неуязвим для всех атак. Любой способ, с помощью которого инвесторы могут снизить вероятность того, что они станут жертвами мошенничества, должен поощряться.
Тем не менее, каждая фишинговая атака на блокчейн-проект происходит через web2-соединение с блокчейн-проектом. Добавление функциональности web3 к технологии web2, такой как Discord, может значительно повысить ее безопасность.
Мы обратились за комментарием к BorisVagner, но не получили ответа.
