Aplikacje Web2, takie jak Discord, ponownie okazały się słabym ogniwem w arsenale projektów blockchain. Ponad 175 ETH zostało usuniętych z kont inwestorów po włamaniu do serwera Discord Bored Ape Yacht Club. @BorisVagner, który awansował do mediów społecznościowych w Yuga Labs dopiero w styczniu 2022 r., włamano się na jego konto Discord. Atakujący mógł następnie publikować linki phishingowe za pośrednictwem oficjalnego konta BorisVagnera na serwerze Discord Yuga Labs.
Link został zredagowany, aby chronić czytelników przed odwiedzaniem strony phishingowej. BAYC w końcu wydał oświadczenie 9 godzin po pierwszym zgłoszeniu stwierdzając,
„Nasze serwery Discord były dzisiaj przez krótki czas wykorzystywane. Zespół szybko go złapał i zareagował. Wydaje się, że wpłynęło to na około 200 transakcji NFT o wartości ETH. Nadal prowadzimy dochodzenie, ale jeśli wpłynęło to na Ciebie, napisz do nas na [email chroniony]"
W oświadczeniu stwierdzono, że zespół „zareagował na to szybko” i potwierdził całkowitą wartość utraconą przez członków jako 200 ETH. Przy dzisiejszej wartości 354 tys. USD zniknęło prawie w mgnieniu oka. Brak pośpiechu w zgłoszeniu sprawy społeczności i zwięzłość komunikatu sugeruje element samozadowolenia Yuga Labs.
Przejęcie konta Menedżera społeczności.
Zgodnie z Dziobak, „Skradziono 32 NFT, w tym 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC” Naruszenie zostało początkowo zgłoszone przez OKHotshot, który podsumowałem, „@BorisVagner dostał włamanie na jego konto, co pozwoliło oszustom przeprowadzić atak phishingowy. Skradziono ponad 145E”. OK, Hotshot powiedział nam wyłącznie, że jest to około 354 tys.
„Właściwe praktyki bezpieczeństwa powinny być przestrzegane w przypadku każdego projektu przynoszącego milionowe przychody. Zwłaszcza jeśli projekt znajduje się w pierwszej dziesiątce rynku. Brak kierownika ds. bezpieczeństwa znacznie zwiększa to ryzyko”.
OKHotshot uważa, że menedżer ds. bezpieczeństwa mógł temu zapobiec, ponieważ „zajmowaliby się niezgodnymi praktykami bezpieczeństwa, polityką zespołu i upewniali się, że są one przestrzegane. Żaden członek zespołu nie powinien otwierać swoich bezpośrednich wiadomości, klikać linków ani używać swoich głównych kont na innych serwerach, aby podać kilka przykładów”. Laboratoria Yuga mają kilka ról zawodowych dostępne, ale żadne role zabezpieczeń nie są aktywne.
Reakcja społeczności
Społeczność kryptograficzna również głośno mówiła o problemie w wątku opublikowanym przez użytkownika Reddit u/naji102. Użytkownicy dyskutowali o spadku zaufania do NFT ze względu na wzrost oszustw, które pochodzą nawet z oficjalnych źródeł. u/XnoonefromnowhereX skomentował: „Wiadomość zawierała błędy gramatyczne, które powinny być czerwoną flagą”, podczas gdy u/CrimsonFox99 stwierdził empatycznie: „Trudno za to winić ich, zwłaszcza pochodzące z rzekomego zaufanego źródła”.
Użytkownik Twittera skontaktował się z OpenSea i LooksRare wstawiennictwo – Właśnie kliknąłem fałszywe roszczenie goblina. Skradziono 2 MAYC i 8 fajnych kotów. … proszę pomóż. Ukradli mi wszystko. Dzwonili od innych użytkowników wspierających inicjatywę zamrożenia kont złodzieja. Wydaje się, że często decentralizacja jest wspierana tylko do czasu, gdy inwestorzy potrzebują scentralizowanego wsparcia.
BAYC Discord wcześniej zagrożony
To nie pierwszy raz, kiedy serwer Discord został zagrożony. Serwer został zhakowany w kwietniu 2022 roku, a MAYC #8662 został skradziony. The historia ciąg dalszy jak później okazało się, że tajwańska gwiazda popu Jay Chou był właścicielem skradzionego NFT o wartości 550 XNUMX $. W obu przypadkach profil Discord został naruszony, co pozwoliło atakowi na publikowanie linków phishingowych na oficjalnych kanałach.
Ochrona infrastruktury web2 powiązanej z web3
Pojawiają się rozwiązania mające na celu walkę z problemem fałszywych stron internetowych. Większość głównych narzędzi antywirusowych korzysta z bibliotek witryn umieszczonych na czarnej liście, aby pomóc użytkownikom w przeglądaniu Internetu. Jednak szybkość i częstotliwość oszustw sprawia, że narzędzia te mogą nie zawsze być w pełni aktualne. Chromowane rozszerzenie o nazwie Strażnik Portfela próbuje rozwiązać ten problem w przestrzeni web3.
Wallet Guard powiedział CryptoSlate:
„Nie każdy ma zaplecze techniczne ani nie przebywał w przestrzeni zbyt długo… nasze rozszerzenie nigdy nie dotyka Twojego portfela, wystarczy znać domenę, którą próbujesz odwiedzić”.
Narzędzie oznaczyło adres URL strony phishingowej przesłanej na konto Discord BorisaVagnera i mogło pomóc inwestorom w podjęciu decyzji, czy powinni zaufać linkowi.
Jednak nawet takie narzędzia nie są niezniszczalne. Wyrafinowany oszust mógłby teoretycznie dostać się na oficjalny serwer Discord, jednocześnie atakując witrynę taką jak Wallet Guard, aby wyglądała na legalną”. Oczekuje się jednak, że żadne narzędzie nie będzie w 100% odporne na wszystkie ataki. Należy zachęcać inwestorów do wszelkich sposobów, w jakie inwestorzy mogą zmniejszyć ryzyko, że padną ofiarą oszustwa.
Mimo to każde oszustwo phishingowe atakuje oszustwo związane z projektem blockchain, które pochodzi z połączenia web2 z projektem blockchain. Dodanie funkcjonalności web3 do technologii web2, takiej jak Discord, może radykalnie zwiększyć jej bezpieczeństwo.
CryptoSlate skontaktował się z BorisemVagnerem w celu uzyskania komentarza, ale nie otrzymał odpowiedzi.
Źródło: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/