据报道,BAYC社区经理的Discord账户被攻破,导致BAYC官方Discord上出现了诈骗性的赠品。
Discord等Web2应用程序再次被证明是区块链项目武库中的薄弱环节。在Bored Ape游艇俱乐部的Discord服务器被攻破后,超过175个ETH从投资者的账户中被抽走。2022年1月才晋升为Yuga实验室社交媒体的@BorisVagner,他的Discord账户被攻破。攻击者随后能够通过BorisVagner的官方账户在Yuga Labs Discord服务器上发布钓鱼链接。
来源。Twitter
该链接已被编辑,以保护读者不会访问钓鱼网站。BAYC在首次报道后近12小时终于发布了一份声明,称。
“我们的Discord服务器今天被短暂地利用了。团队很快发现并解决了这个问题。价值约200ETH的NFT似乎受到了影响。我们仍在调查,但如果你受到影响,请给我们发电子邮件:discord@yugalabs.io。”
该声明称,该团队 “迅速解决了这一问题”,并确认成员损失的总价值为200ETH。按今天的价值计算,这意味着354千美元几乎在任何时候都消失了。在向其社区报告此事时缺乏紧迫性,而且公告简短,这表明Yuga Labs有自满的成分。
社区经理账户被泄露。
BAKC。”OKHotshot是第一个报告该漏洞的推特之一,”@BorisVagner的账户被攻破,这让骗子实施了他们的网络钓鱼攻击。超过145欧元的资金被盗”。OKHotshot独家告诉我们,大约是354千美元。
“对于任何做百万收入的项目,都应该坚持适当的安全做法。特别是如果该项目处于市场的前10名。没有一个安全经理会大大增加这种风险。”
谈到这个问题时,他说:”我认为安全经理可以避免这种情况,因为他们会处理不和谐的安全做法和团队政策,并确保它们得到维护。任何团队成员都不应该打开他们的直接信息,点击链接或在其他服务器上使用他们的主要账户,仅举几个例子。” Yuga实验室有几个工作角色可供选择,但没有安全角色是活的。
社区反应
加密货币社区也通过Reddit用户u/naji102发布的主题对这个问题发表了看法。u/XnoonefromnowhereX评论说:”该消息有语法错误,应该是一个红旗,”而u/CrimsonFox99则感同身受地说:”这部分很难责怪他们,特别是来自一个所谓的受信任的来源。”
一位推特用户向OpenSea和LooksRare发出请求,”我刚刚点击了一个假的妖精索赔。2只MAYC和8只酷猫被盗。…请帮助。他们从我这里偷走了一切。” 来自其他用户的呼声,支持冻结小偷账户的倡议。看来,往往去中心化只得到支持,直到投资者需要中心化支持。
BAYC的Discord在之前被破坏了
这并不是Discord服务器第一次被入侵。该服务器在2022年4月被黑,MAYC 8662被盗。这个故事还在继续,因为后来知道台湾流行巨星周杰伦是被盗的NFT的所有者,价值55万美元。在这两次事件中,一个Discord档案被泄露,允许攻击者在官方渠道上发布钓鱼网站链接。
保护与web3相关的web2基础设施
。
有一些解决方案正在发布,试图打击诈骗网站的问题。大多数主要的反病毒工具使用黑名单网站库来帮助用户浏览互联网。然而,诈骗的速度和频率意味着这些工具可能并不总是完全最新的。一个名为Wallet Guard的chrome扩展程序试图在web3领域解决这个问题。
Wallet Guard告诉CryptoSlate:
“不是每个人都有技术背景,也不是在这个领域呆得太久……我们的扩展程序从未接触过你的钱包,它只需要知道你试图访问的域名。”
该工具标记了发布在BorisVagner的Discord账户上的钓鱼网站的URL,可以帮助投资者决定他们是否应该相信这个链接。
然而,即使像这样的工具也不是无懈可击的。理论上,一个复杂的诈骗者可以进入官方的Discord服务器,同时也可以攻击像Wallet Guard这样的网站,使其看起来是一个合法网站”。然而,没有任何工具可望100%不受所有攻击的影响。任何能够减少投资者成为欺诈受害者的方式都应该得到鼓励。
尽管如此,每一个攻击区块链项目骗局的钓鱼网站都是通过web2连接到区块链项目来的。将web3功能添加到web2技术,如Discord,可以极大地提高其安全性。
我们向BorisVagner寻求评论,但没有收到回复。
