不幸的是,不可伪造的代币集合(NFT)仍然是黑客的主要目标,Azuki项目已经被击中。一个恶意的人接管了该项目的Twitter账户,分享了一个钓鱼链接,并设法从一些用户那里窃取了资金。
LAzuki Twitter账户落入坏人之手
1月27日星期五,Azuki不可伪造代币(NFT)项目的Twitter账户被黑。肇事者邀请Azuki社区到 “花园 “中 “认领土地”,”花园 “是专门用于收藏的元世界
恶意推文截图,已删除(链接已隐藏)
不幸的是,通过这个看似诚实的链接,Azuki社区的成员在钓鱼网站上给予了恶意许可,他们的钱包被掏空。在短短30分钟内,11个NFT和3.9个ETH被黑客取走,750,000个USDC被发送到他的钱包,现在被Etherscan识别为一个钓鱼网站。
这些USDC随后被发送到另一个钱包,也被Etherscan识别出来,该钱包通过Uniswap V3去中心化金融(DeFi)协议将其代币换成了WETH(包裹的以太币),在这里和这里可以看到两个独立的交易。
该项目社区经理Rose很快确认了Azuki账户被黑的消息。幸运的是,由于社区的反应能力,损失相对有限,因为例如MetaMask迅速封锁了相关的域名以保护其用户,就像Phantom或ZenGo所做的那样。
一个相当阴暗的事件
Azuki的推特账户幸运地在晚上被恢复,并在一夜之间发布了项目的善后推文。
1/@AzukiOfficial推特今天被入侵。一系列的恶意推文是在1月27日星期五(太平洋时间)上午发布的。
团队已经重新获得了对@AzukiOfficial Twitter的控制。
详情如下
-Azuki(@Azuki)2023年1月27日
正如主题中提到的,由于与社交网络团队共同开展的工作,Twitter账户的恢复相对较快。然而,该漏洞的来源仍然是一个谜,因为根据发布的信息,有关账户似乎是由双因素认证(2FA)方法保证的。因此,Azuki已经启动了一项调查,以澄清此事。
以链上调查而闻名的ZachXBT似乎已经找到了线索的开始。根据他的说法,是同一个人设法入侵了NFT项目Mutant Hounbds、AKCB和Chimpers的Twitter账户。
最近入侵突变体猎犬、AKCB和Chimpers推特账户的是同一个叫Lock的诈骗者。pic.twitter.com/YSgy6SnvJr
– ZachXBT(@zachxbt)January 27, 2023
他还解释说,这个缺陷可能来自Twitter方面,Azuki的团队不可能再做什么来防止攻击,这就解释了这个缺陷绕过了2FA这一公认的安全措施。事实上,我们过去曾看到黑客愿意支付大笔资金来绕过Twitter账户的安全。
然而,这只是猜测,还没有得到证实。然而,了解同一黑客如何能够进入这么多不同的Twitter账户将是非常有趣的事情
。
