- A hivatalos BAYC discord szervert ma feltörték.
- A jelentések szerint egy MAYC-t elloptak.
- Hasonló kizsákmányolásra derült fény több más NFT diszcord csatornán is.
A BAYC ellenőrzött Twitter-kezelőjétől származó információk szerint a közösség Discord csatornája rövid időre veszélybe került. Jelenleg csak egy MAYC-t loptak el.
Az Exploit részletei
A hackereknek a mai napon sikerült feltörniük egy jegyértékesítő eszközt a BAYC diszcord-csatornáján, amely a felhasználók ellenőrzéséért és értesítéseiért felelős. Ezzel a csalók üzeneteket küldtek, amelyben arra kérték a felhasználókat, hogy tegyék kockára NFT-jüket jutalomért a Yuga Labs natív tokenjébe, az ApeCoinba.
@zachxbt, egy láncon belüli nyomozó, először jelentett a Twitter feltörése, amely felfedte, hogy az egyik MAYC-et ellopták. Percekkel később a BAYC megerősítette a feltörést a hivatalos Twitter-kezelője segítségével; az csipog olvasni, "MARADJ BIZTONSÁGBAN. Jelenleg ne verjen semmit semmilyen Discordból. Egy webhook a Discord-ban rövid időre veszélybe került. Azonnal elkaptuk, de kérem, tudjátok: nem csinálunk április elsejei lopakodó pénzverést/levegőt stb. Más Discord-okat is támadnak jelenleg.”
A Discord biztonsági és kódolási szakértője, akit Serpent álnéven emlegetnek, azóta a ringbe dobta a kalapját, hogy segítsen a BAYC-nek visszaszerezni a szervere feletti teljes irányítást. Néhány órával a feltörés megerősítése után, Serpent megosztott egy kód, amely segít a fejlesztőknek megszabadulni a hackerek által beillesztett hibától.
Mint kiderült, nem a BAYC diszcord-csatornája volt az egyetlen, amelyet a hackerek célba vettek. @zachxbt megerősítette, hogy ugyanez a kizsákmányolás számos más NFT-csatornán is működik, beleértve a Doodles, Shamanz és Nyoki szervereket. Az adathalász webhelyek vizsgálatakor @zachxbt ismertetett hogy nagyon hasonlóak és nagy valószínűséggel egyetlen csoport erőfeszítései.
Frissítések @zachxbt szálából mutatják hogy a Namecheap webtárhely szolgáltatás felfüggesztette az azonosított webhelyeket. A hackerek által használt címet az Etherscan is azonosította és megjelölte. A BAYC még nem erősítette meg, hogy a fenyegetést semlegesítették-e.
Discord Hacks
A Discord-hackek nagyon elterjedtek az NFT-térben, mivel a platform számos NFT-közösséget támogat; gyakran célzott. Magus Devon, a kriptokommunikációs közösség vezetője csalódottságának adott hangot a Discord számos biztonsági hiányossága miatt a mai eseményekre reagálva egy tweetben. Devon csipog olvas:
„Nagyon utálom a viszály szörnyű biztonságát és a szerveradminisztrátorok számára biztosított eszközök hiányát a kezeléshez. Furcsa érzés, hogy folyamatosan ezekre a harmadik féltől származó robotokra kell hagyatkoznunk, csak azért, hogy valamilyen alapvető szintű védelmet biztosítsunk felhasználóinknak.”
Decemberben egy viszályhackelés során a hackerek egy adathalász trükk segítségével 7000 Solanát tettek ki akkoriban körülbelül 1.3 millió dollár értékben. A hackerek feltörték a Monkey Kingdom Discord szerverét, egy hongkongi vállalkozók által indított NFT-gyűjteményt. Az NFT-tulajdonosokat emlékeztetni kell arra, hogy a projektek nem küldenek nekik közvetlen üzeneteket, és óvakodjanak a nekik küldött linkekre kattintva.
Forrás: https://zycrypto.com/bored-ape-yacht-clubs-discord-briefly-compromised/