Bored Ape Yacht Club Discord Server hacknutý po použití nástroje Ticket Tool

Několik serverů Discord, včetně serveru Bored Ape Yacht Club, bylo napadeno. Zdá se, že hackeři využili nedávnou aktualizaci bota Ticket Tool Discord k odesílání phishingových odkazů na více serverů.

NFT ztracené prostřednictvím Discord Hack

Porušení bezpečnosti související s Discordem mělo za následek odcizení vysoce hodnotných NFT. 

Discord servery Bored Ape Yacht Club, Doodles a několik dalších prominentních sbírek NFT byly v pátek časně ráno kompromitovány, takže komunita NFT byla v šoku. 

Na serveru Bored Ape se v 6:19 UTC objevila zpráva, která uživatele informovala o nové kolekci „Mutant ape Kennel Club“ a zveřejnila falešný odkaz na ražbu. Nic netušící uživatelé, kteří klikli na odkaz, podepsali transakce, které daly hackerovi právo převést jejich NFT z jejich peněženek. Navzdory nešťastnému načasování to nebyl aprílový žert – hackerovi se podařilo najít exploit v oblíbeném robotu Discord, který infiltroval servery a publikoval odkazy na omezené kanály bez svolení administrátora serveru.

Hacker také posted podobná zpráva na serveru Doodles Discord, informující uživatele o nové „genesis mint“ s omezenou nabídkou. Stejně jako odkaz na příspěvek Bored Ape Discord, kdo na něj klikl a pokusil se vyrazit, nechal hacker převést NFT z jejich peněženky.

Oficiální Twitter účet Bored Ape Yacht Club rychle informováni stoupenci útoku. "Webhook v našem Discordu byl krátce kompromitován." Okamžitě jsme to zachytili, ale prosím vězte: neděláme žádné aprílové tajné mincovny / výsadky atd.,“ stálo v příspěvku. 

Nadšenec NFT a spoluzakladatel DAPE SerpentAU původně zveřejnil na Twitteru, že kompromitované servery byly způsobeny napadením vlastníka široce používaného robota Discord Captcha, přičemž uvedl „vnitřní informace“ získané od jednoho z hackerů. Oni však později potvrzeno že exploit s jiným robotem Discord, nazývaným Ticket Tool, umožnil hackerům infiltrovat servery pomocí něj. V reakci na příspěvek SerpentAU, oficiální Twitter účet Ticket Tool uvedený že aktualizace, která způsobila exploit, byla mezitím vrácena.

Podle blockchainové bezpečnostní firmy PeckShield alespoň jeden Bored Ape, jeden Mutant Ape a dva Doodles NFT byly ukradeny hackerem. Transakce datum ukazuje, že hacker od té doby prodal nebo převedl všechny čtyři NFT. 

Dnešní incident není prvním případem, kdy sběratelé ztratili NFT a kryptoměnu kvůli kompromitovaným serverům Discord. V únoru se členové serveru Doodles Discord stali obětí phishingových odkazů, když byl hacknut serverový robot, což vedlo k tomu, že několik členů přišlo o svá NFT Doodles.

Krádeže nezaměnitelných položek s vysokou hodnotou se však neomezily pouze na Discord. Také v únoru a phishingový e-mailový podvod odeslané uživatelům OpenSea vedlo k odcizení NFT v hodnotě přes 3 miliony dolarů ze sbírek, jako jsou Bored Ape Yacht Club, Doodles a Azuki. 

S nárůstem hodnoty NFT budou jejich majitelé pravděpodobně i nadále terčem podvodů. Ti, kteří provozují servery Discord, budou muset přijmout zvláštní opatření, aby ochránili své komunity před dalšími útoky. 

Zveřejnění: V době psaní tohoto článku autor vlastnil ETH a několik dalších kryptoměn.