axie безкрайност има оповестен на страницата си в Twitter, че е имало компрометиране на бота MEE6 на неговия Discord сървър. Екипът на MEE6 отрече да е имало атака срещу неговия бот.
Ботът MEE6 е доста популярен в Discord, като много сървъри го използват за автоматизиране на съобщения и други функции.
Axie Infinity каза на 18 май, че нападателите са компрометирали бота и са го използвали, за да добавят разрешения за фалшив акаунт в Jiho, който впоследствие са използвали за публикуване на фалшиво съобщение за монетен двор.
1/ Имаше компромис с бота Mee6, който беше инсталиран на главния сървър на Axie. Нападателите използваха този бот, за да добавят разрешения към фалшив акаунт в Jiho, който след това публикува фалшиво съобщение за монетен двор.
- Axie Infinity ?? (@AxieInfinity) Май 18, 2022
За щастие разработчиците го откриха бързо. Те премахнаха компрометирания бот и изтриха съобщенията. Според платформата за игри, тя никога няма да направи изненада и обикновено обявява всички подобни събития в Twitter, Facebook, Discord и Substack.
Въпреки това, той също така каза, че някои потребители все още могат да виждат изтритите съобщения, докато не рестартират своя Discord. Поне един потребител твърди, че е загубил NFT и домейн поради хакването.
Акси казва, че други са претърпели същия подвиз
Axie Infinity заяви, че компромисът не е специфичен за неговия сървър и че много сървъри с MEE6 Bot са се сблъсквали с подобни проблеми и преди. Cool Cats, RTFKT, PXN, PROOF/Moonbirds и Memeland са съобщили за компрометиране на своите администраторски акаунти поради бота.
4/ Това не беше уникално за Axie и се случи на много сървъри с инсталиран бот Mee6.
- Axie Infinity ?? (@AxieInfinity) Май 18, 2022
Според запознати със сигурността на Discord, хакерите вероятно първо са атакували администраторски акаунти. След това те създадоха функция за роля на реакция от бота MEE6, която ролята на администратор към друг акаунт.
По този начин те биха могли да изпращат съобщения в уеб книгата, без да разкриват компрометирания администраторски акаунт.
MEE6 отрича всякакво хакване
MEE6 отхвърли твърдението за компромис на своя Discord сървър. В него се казва, че няма компромис с никоя NFT общност поради нейния бот.
„Не сме се свързвали с реални собственици на общности по време на това съобщение, нито чрез Discord или други канали за комуникация за поддръжка. Проверихме ситуациите с нашите инженери и няма данни за необичайни дейности“, се казва в съобщението.
Axie Infinity наскоро претърпя експлойт, при който хакерите откраднаха повече от $ 600 милионаn в собствената му лексема AXS. Знакът се бори след експлоата, дори след компанията събра нови средства за възстановяване на суми на потребителите.
Доверието на потребителите има спадна и продължава да намалява поради закъснения и нарастващи опасения за сигурността. AXS в момента се търгува на $21.6 от ATH от $164.9 през ноември 2021 г.
Източник: https://cryptoslate.com/axie-infinity-targeted-in-another-hack-via-dis/