Web2 aplikace jako Discord se opět ukázaly jako slabý článek v arzenálu blockchainových projektů. Více než 175 ETH bylo vyčerpáno z účtů investorů poté, co byl narušen Discord server Bored Ape Yacht club. @BorisVagner, který byl povýšen na sociální média pro Yuga Labs teprve v lednu 2022, byl narušen jeho účet Discord. Útočníkovi se poté podařilo zveřejnit phishingové odkazy prostřednictvím oficiálního účtu BorisVagner na serveru Yuga Labs Discord.
Odkaz byl redigován, aby chránil čtenáře před návštěvou phishingového webu. BAYC konečně vydal prohlášení 9 hodin poté, co bylo poprvé hlášeno uvádění,
„Naše servery Discord byly dnes krátce zneužity. Tým to rychle zachytil a vyřešil. Zdá se, že bylo ovlivněno přibližně 200 NFT v hodnotě ETH. Stále to vyšetřujeme, ale pokud jste byli ovlivněni, napište nám na adresu [chráněno e-mailem]"
Prohlášení uvedlo, že tým to „vyřešil rychle“ a potvrdilo celkovou hodnotu ztracenou členy jako 200 ETH. Při dnešní hodnotě, která je 354 XNUMX $, zmizí téměř okamžitě. Nedostatek naléhavosti při nahlášení záležitosti své komunitě a stručnost oznámení naznačuje prvek sebeuspokojení ze strany laboratoří Yuga.
Účet správce komunity byl ohrožen.
Podle Peckshield„Bylo odcizeno 32 NFT, včetně 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC“ Porušení původně nahlásil OKHotshot, který tweeted„@BorisVagner prolomil jeho účet, což umožnilo podvodníkům provést jejich phishingový útok. Bylo ukradeno více než 145E in.” Dobře exkluzivně nám řekl, že se pohybuje kolem 354 tisíc dolarů.
„Správné bezpečnostní postupy by měly být dodržovány u každého projektu s milionovými příjmy. Zvláště pokud je projekt v top 10 na trhu. Nemít bezpečnostního manažera toto riziko výrazně zvyšuje.“
OKHotshot věří, že bezpečnostní manažer tomu mohl zabránit, protože „zvládli neshody v bezpečnostních praktikách, týmové politice a zajistili by jejich dodržování. Žádný člen týmu by neměl mít otevřené své přímé zprávy, klikat na odkazy nebo používat své hlavní účty na jiných serverech, abychom uvedli několik příkladů.“ Yuga Labs mají několik pracovních rolí dostupné, ale nejsou aktivní žádné role zabezpečení.
Reakce Společenství
Kryptomunita se k problému vyjádřila také prostřednictvím vlákna zveřejněného uživatelem Redditu u/naji102. Uživatelé diskutovali o poklesu důvěry v NFT kvůli nárůstu podvodů, které dokonce pocházejí z oficiálních zdrojů. u/XnoonefromnowhereX komentoval: „Zpráva obsahovala gramatické chyby, které měly být varovným signálem,“ zatímco u/CrimsonFox99 empaticky prohlásil: „Těžko je vinit z této strany, zvláště pocházející z údajného důvěryhodného zdroje.“
Uživatel Twitteru oslovil OpenSea a LooksRare prosba "Právě jsem klikl na falešný goblin nárok." 2 MAYC a 8 cool koček byly ukradeny. … prosím pomozte. Všechno mi ukradli." Volali další uživatelé, kteří iniciativu na zmrazení účtů zlodějů podpořili. Zdá se, že decentralizace je často podporována pouze do doby, než investoři potřebují centralizovanou podporu.
BAYC Discord byl kompromitován dříve
Není to poprvé, co byl Discord server kompromisy. Server byl hacknut v dubnu 2022 s odcizením MAYC #8662. The příběh pokračoval jak se později ukázalo, že tchajwanská popová superstar Jay Chou byla vlastníkem ukradeného NFT v hodnotě 550 XNUMX $. Při obou příležitostech byl kompromitován profil Discord, což umožnilo útoku zveřejnit phishingové odkazy na oficiální kanály.
Ochrana infrastruktury web2 vázané na web3
Existují řešení, která se uvolňují, aby se pokusila bojovat s problémem podvodných webových stránek. Většina hlavních antivirových nástrojů používá knihovny stránek na černé listině, které uživatelům pomáhají při procházení internetu. Rychlost a frekvence podvodů však znamenají, že tyto nástroje nemusí být vždy zcela aktuální. Chrome rozšíření tzv Strážce peněženky se tento problém pokouší vyřešit v prostoru web3.
Wallet Guard řekl CryptoSlate:
"Ne každý má technické zázemí ani se v prostoru příliš dlouho nepohybuje... naše rozšíření se nikdy nedotkne vaší peněženky, potřebuje pouze znát doménu, kterou se pokoušíte navštívit."
Nástroj označil adresu URL phishingového webu zveřejněného na Discord účtu BorisVagner a mohl investorům pomoci při rozhodování, zda mají odkazu důvěřovat.
Ani nástroje jako tento však nejsou nezranitelné. Sofistikovaný podvodník by se teoreticky mohl dostat na oficiální server Discord a zároveň by mohl zaútočit na web, jako je Wallet Guard, aby vypadal jako legitimní.“ Neočekává se však, že by žádný nástroj byl 100% nezranitelný vůči všem útokům. Měl by být podporován jakýkoli způsob, jak mohou investoři snížit šanci, že se stanou obětí podvodu.
Přesto každý phishingový podvod útočí na blockchainový projekt, který přichází prostřednictvím připojení web2 k blockchainovému projektu. Přidání funkce web3 k technologii web2, jako je Discord, by mohlo dramaticky zvýšit její bezpečnost.
CryptoSlate požádal Boris Vagner o komentář, ale nedostal odpověď.
Zdroj: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/