A web2-es alkalmazások, mint például a Discord, ismét bebizonyosodott, hogy a gyenge láncszem a blokklánc-projektek arzenáljában. Több mint 175 ETH-t vontak ki a befektetők számláiról, miután a Bored Ape Yacht club Discord szerverét feltörték. @BorisVagner, aki csak 2022 januárjában került a közösségi médiába a Yuga Labs számára, feltörték Discord-fiókját. A támadó ezután adathalász linkeket tudott közzétenni BorisVagner hivatalos fiókján keresztül a Yuga Labs Discord szerverén.
A linket leszerkesztettük, hogy megóvjuk az olvasókat az adathalász oldal felkeresésétől. A BAYC végül 9 órával az első bejelentés után kiadott egy nyilatkozatot megállapítva
„A Discord szervereinket ma rövid időre kihasználták. A csapat gyorsan elkapta és kezelte. Úgy tűnik, hogy körülbelül 200 ETH értékű NFT-t érintettek. Még mindig nyomozunk, de ha ez érintett, írjon nekünk a következő címre: [e-mail védett]"
A nyilatkozat arról számolt be, hogy a csapat „gyorsan foglalkozott vele”, és megerősítette, hogy a tagok által elvesztett összérték 200 ETH. A mai értéken ez 354 XNUMX dollár szinte pillanatok alatt elment. Az a tény, hogy nem sürgősen jelentették az ügyet a közösségnek, és a bejelentés rövidsége a Yuga Labs önelégültségére utal.
A Community Manager-fiók feltört.
Szerint Peckshield, „32 NFT-t loptak el, köztük 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" A jogsértést eredetileg az OKHotshot jelentette, aki Twitteren, „@BorisVagner fiókját feltörték, ami lehetővé tette, hogy a csalók végrehajtsák adathalász támadásukat. Több mint 145E-t loptak el.” OKHotshot kizárólag azt mondta nekünk, hogy körülbelül 354 ezer dollár.
„A megfelelő biztonsági gyakorlatot be kell tartani minden olyan projektnél, amely milliós bevételt termel. Főleg, ha a projekt a piac top 10-ében van. A biztonsági vezető hiánya jelentősen megnöveli ezt a kockázatot.”
Az OKHotshot úgy véli, hogy egy biztonsági vezető megakadályozhatta volna ezt, mivel „kezelik az ellentmondásos biztonsági gyakorlatokat, a csapatpolitikát, és gondoskodnak azok betartásáról. Egyetlen csapattag sem nyithatja meg a közvetlen üzeneteit, nem kattinthat hivatkozásokra vagy használhatja fő fiókját más szervereken, csak hogy néhány példát említsünk.” A Yuga Labs rendelkezik több munkakör elérhető, de nincsenek élő biztonsági szerepkörök.
Közösségi reakció
A kriptográfiai közösség is hangot adott a problémának a Reddit u/naji102 felhasználó által közzétett szálon keresztül. A felhasználók megvitatták az NFT-k iránti bizalom csökkenését a hivatalos forrásokból származó csalások növekedése miatt. Az u/XnoonefromnowhereX megjegyezte: „Az üzenet nyelvtani hibákat tartalmazott, amelyeknek piros zászlónak kellett volna lenniük”, míg az u/CrimsonFox99 empatikusan kijelentette: „Nehéz hibáztatni őket ezért, különösen, ha egy feltételezett megbízható forrásból származik.”
Egy Twitter-felhasználó megkereste az OpenSea-t és a LooksRare-t könyörgő „Csak egy hamis goblin-állításra kattintottam. 2 MAYC-et és 8 menő macskát loptak el. … kérem, segítsen. Mindent elloptak tőlem." Más felhasználóktól érkeztek hívások, akik támogatták a tolvaj számláinak befagyasztására irányuló kezdeményezést. Úgy tűnik, hogy a decentralizációt gyakran csak addig támogatják, amíg a befektetőknek központosított támogatásra nincs szükségük.
A BAYC Discord korábban kompromittálódott
A Discord szerver nem először fordul elő veszélyeztetett. A szervert 2022 áprilisában feltörték, és ellopták a MAYC #8662-t. Az a történet folytatódott mivel később kiderült, hogy a tajvani popszupersztár, Jay Chou volt az ellopott, 550 ezer dollár értékű NFT tulajdonosa. A Discord-profil mindkét alkalommal feltört, lehetővé téve a támadásnak, hogy adathalász linkeket tegyen közzé a hivatalos csatornákon.
A web2-hoz kapcsolódó web3 infrastruktúra védelme
Vannak olyan megoldások, amelyek megpróbálják leküzdeni az átverő webhelyek problémáját. A legtöbb fő víruskereső eszköz a tiltólistán szereplő webhelyek könyvtárait használja, hogy segítse a felhasználókat az internet böngészésében. A csalások sebessége és gyakorisága azonban azt jelenti, hogy ezek az eszközök nem mindig teljesen naprakészek. Egy króm bővítmény hívott Pénztárca őr megpróbálja megoldani ezt a problémát a web3 térben.
A Wallet Guard elmondta a CryptoSlate-nek:
„Nem mindenki rendelkezik műszaki háttérrel, és nem is tartózkodik túl sokáig a területen… a bővítményünk soha nem érinti a pénztárcáját, csak ismernie kell a felkeresni kívánt domaint.”
Az eszköz megjelölte az adathalász oldal URL-jét, amelyet a BorisVagner Discord-fiókjába tettek közzé, és segíthetett volna a befektetőknek eldönteni, hogy megbízzanak-e a linkben.
Azonban még az ehhez hasonló eszközök sem sérthetetlenek. Egy kifinomult csaló elméletileg bejuthat egy hivatalos Discord-szerverre, miközben megtámadhat egy olyan webhelyet, mint a Wallet Guard, hogy legitim webhelynek tűnjön.” Azonban várhatóan egyetlen eszköz sem lesz 100%-ban sebezhetetlen minden támadással szemben. Ösztönözni kell minden olyan módot, amellyel a befektetők csökkenthetik annak esélyét, hogy csalás áldozataivá váljanak.
Ennek ellenére minden adathalász csalás egy blokklánc projekt csalást támad, amely a blokklánc projekthez való web2 kapcsolaton keresztül érkezik. A web3 funkcionalitás hozzáadása a web2 technológiához, például a Discordhoz, drámai módon növelheti annak biztonságát.
CryptoSlate megkereste BorisVagnert, de nem kapott választ.
Forrás: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/