Web2 приложения като Discord отново се оказаха слабото звено в арсенала на блокчейн проекти. Над 175 ETH бяха източени от сметките на инвеститорите след взлом на сървъра на Bored Ape Yacht club Discord. На @BorisVagner, който беше повишен в социалните медии за Yuga Labs едва през януари 2022 г., акаунтът му в Discord беше нарушен. След това нападателят успя да публикува фишинг връзки чрез официалния акаунт на BorisVagner на сървъра на Yuga Labs Discord.
Връзката е редактирана, за да предпази читателите от посещение на фишинг сайта. BAYC най-накрая пусна изявление 9 часа след като беше съобщено за първи път посочва,
„Нашите Discord сървъри бяха експлоатирани за кратко днес. Екипът го хвана и се справи бързо. Изглежда, че са засегнати около 200 ETH NFT. Все още разследваме, но ако сте били засегнати, изпратете ни имейл на адрес [имейл защитен]"
В изявлението се съобщава, че екипът „се адресира бързо“ и потвърждава общата стойност, загубена от членовете, като 200 ETH. При днешна стойност, която е $354 XNUMX, изчезна почти за нула време. Липсата на спешност при докладването на въпроса на своята общност и краткостта на съобщението предполага елемент на самодоволство от страна на Yuga Labs.
Профилът на мениджър на общността е компрометиран.
Според Пекшийлд, „32 NFT бяха откраднати, включително 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC“ Пробивът беше съобщен първоначално от OKHotshot, който Споделено в Twitter, „Акаунтът му на @BorisVagner беше пробит, което позволи на измамниците да изпълнят своята фишинг атака. Над 145E in са откраднати." Добре ни каза ексклузивно, че е около $354k.
„Трябва да се спазват правилните практики за сигурност за всеки проект, който носи милиони приходи. Особено ако проектът е в топ 10 на пазара. Липсата на мениджър по сигурността увеличава значително този риск."
OKHotshot вярва, че мениджърът по сигурността би могъл да предотврати това, тъй като „те биха се справили с практиките за сигурност на дискорд, политиката на екипа и ще се уверят, че те се спазват. Никой член на екипа не трябва да отваря директните си съобщения, да кликва върху връзки или да използва основните си акаунти на други сървъри, само за да даде няколко примера. Yuga Labs имат няколко работни роли налични, но няма активни роли за сигурност.
Реакция на общността
Крипто общността също беше гласна за проблема чрез нишка, публикувана от потребител на Reddit u/naji102. Потребителите обсъдиха спада в доверието към NFT поради увеличаването на измами, които дори идват от официални източници. u/XnoonefromnowhereX коментира: „Съобщението имаше граматически грешки, които трябваше да бъдат червен флаг“, докато u/CrimsonFox99 емпатично заяви: „Трудно е да ги обвинявам в тази част, особено идващи от предполагаем доверен източник“.
Потребител на Twitter се обърна към OpenSea и LooksRare умолителен „Току-що щракнах върху фалшиво твърдение за гоблин. Откраднати са 2 MAYC и 8 готини котки. … Моля помогнете. Откраднаха ми всичко." Дойдоха обаждания от други потребители, подкрепящи инициативата за замразяване на сметките на крадеца. Изглежда, че често децентрализацията се подкрепя само докато инвеститорите се нуждаят от централизирана подкрепа.
BAYC Discord е компрометиран преди
Това не е първият път, когато сървърът на Discord е бил компрометирана. Сървърът беше хакнат през април 2022 г., като MAYC #8662 беше откраднат. В историята продължи тъй като по-късно стана известно, че тайванската поп суперзвезда Джей Чоу е собственик на откраднатия NFT на стойност $550 XNUMX. Профилът в Discord беше компрометиран и в двата случая, което позволи на атаката да публикува фишинг връзки в официалните канали.
Защита на инфраструктурата на web2, свързана с web3
Има решения, които се пускат в опит за борба с проблема с измамните уебсайтове. Повечето основни антивирусни инструменти използват библиотеки на сайтове в черния списък, за да помогнат на потребителите при сърфиране в интернет. Въпреки това, скоростта и честотата на измами означават, че тези инструменти може да не винаги са напълно актуални. Разширение за хром, наречено Защита на портфейла се опитва да реши този проблем в пространството web3.
Wallet Guard каза на CryptoSlate:
„Не всеки има технически опит, нито е бил в пространството твърде дълго… нашето разширение никога не докосва портфейла ви, а трябва само да знае домейна, който се опитвате да посетите.“
Инструментът маркира URL адреса на фишинг сайта, публикуван в акаунта на BorisVagner в Discord и би могъл да помогне на инвеститорите да решат дали трябва да се доверят на връзката.
Въпреки това, дори инструменти като този не са неуязвими. Изискан измамник теоретично може да влезе в официален сървър на Discord, като същевременно атакува сайт като Wallet Guard, за да изглежда, че е законен сайт. Въпреки това, нито един инструмент не се очаква да бъде 100% неуязвим за всички атаки. Трябва да се насърчава всеки начин, по който инвеститорите могат да намалят шанса да станат жертва на измама.
И все пак, всяка фишинг измама атакува измама с блокчейн проект, идва чрез web2 връзка с блокчейн проекта. Добавянето на web3 функционалност към web2 технологията като Discord може драстично да повиши нейната сигурност.
CryptoSlate се обърна към BorisVagner за коментар, но не получи отговор.
Източник: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/