Web2 aplikácie ako Discord sa opäť ukázali ako slabý článok v arzenáli blockchainových projektov. Viac ako 175 ETH bolo vyčerpaných z účtov investorov po tom, čo bol narušený server Bored Ape Yacht Club Discord. @BorisVagner, ktorý bol povýšený na sociálne médiá pre Yuga Labs až v januári 2022, mal narušený jeho účet Discord. Útočníkovi sa potom podarilo uverejniť phishingové odkazy prostredníctvom oficiálneho účtu BorisVagner na serveri Yuga Labs Discord.
Odkaz bol zredigovaný, aby sme čitateľov ochránili pred návštevou phishingovej stránky. BAYC nakoniec vydal vyhlásenie 9 hodín po tom, čo bolo prvýkrát ohlásené s uvedením,
„Naše servery Discord boli dnes krátko zneužité. Tým to rýchlo zachytil a vyriešil. Zdá sa, že bolo ovplyvnených približne 200 NFT v hodnote ETH. Stále to vyšetrujeme, ale ak ste boli ovplyvnení, pošlite nám e-mail na adresu [chránené e-mailom]"
Vo vyhlásení sa uvádzalo, že tím to „vyriešil rýchlo“ a potvrdil celkovú hodnotu stratenú členmi ako 200 ETH. Pri dnešnej hodnote, ktorá je 354 XNUMX dolárov, sa miniete takmer okamžite. Nenaliehavosť pri nahlasovaní tejto záležitosti komunite a stručnosť oznámenia naznačuje prvok sebauspokojenia zo strany Yuga Labs.
Účet správcu komunity bol napadnutý.
Podľa Peckshield„Bolo ukradnutých 32 NFT, vrátane 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC“ Porušenie pôvodne nahlásil OKHotshot, ktorý tweet„@BorisVagner bol narušený jeho účet, čo umožnilo podvodníkom vykonať ich phishingový útok. Viac ako 145E in bolo ukradnutých.” OKHotshot nám exkluzívne povedal, že je to okolo 354 XNUMX dolárov.
„Pri každom projekte s miliónovými príjmami by sa mali dodržiavať správne bezpečnostné postupy. Najmä ak je projekt v top 10 na trhu. Neexistencia bezpečnostného manažéra toto riziko výrazne zvyšuje.“
OKHotshot verí, že bezpečnostný manažér tomu mohol zabrániť, pretože „sa zaoberali nezhodami v bezpečnostných postupoch, tímovej politike a zabezpečili by ich dodržiavanie. Žiadny člen tímu by nemal mať otvorené priame správy, klikať na odkazy alebo používať svoje hlavné účty na iných serveroch, len aby som uviedol niekoľko príkladov.“ Yuga Labs majú viacero pracovných úloh dostupné, ale nie sú aktívne žiadne roly zabezpečenia.
Reakcia komunity
Kryptomunita sa k problému vyjadrila aj prostredníctvom vlákna, ktoré zverejnil používateľ Reddit u/naji102. Používatelia diskutovali o poklese dôvery v NFT v dôsledku nárastu podvodov, ktoré dokonca pochádzajú z oficiálnych zdrojov. u/XnoonefromnowhereX komentoval: „Správa obsahovala gramatické chyby, ktoré mali byť upozornené,“ zatiaľ čo u/CrimsonFox99 empaticky uviedol: „Ťažko ich obviňovať z tejto strany, najmä z údajného dôveryhodného zdroja.“
Používateľ Twitteru oslovil OpenSea a LooksRare pojednávania „Práve som klikol na falošné tvrdenie škriatka. Boli ukradnuté 2 MAYC a 8 cool mačiek. … prosím pomôžte. Všetko mi ukradli." Ozvali sa aj ďalší používatelia, ktorí podporili iniciatívu zmraziť zlodejove účty. Zdá sa, že decentralizácia je často podporovaná len dovtedy, kým investori nepotrebujú centralizovanú podporu.
BAYC Discord bol kompromitovaný predtým
Toto nie je prvýkrát, čo bol Discord server ohrozená. Server bol napadnutý v apríli 2022, pričom bol ukradnutý MAYC #8662. The príbeh pokračoval ako sa neskôr ukázalo, že taiwanská popová superstar Jay Chou bola vlastníkom ukradnutého NFT v hodnote 550 XNUMX dolárov. Profil Discord bol ohrozený pri oboch príležitostiach, čo umožnilo útoku zverejňovať phishingové odkazy na oficiálne kanály.
Ochrana web2 infraštruktúry viazanej na web3
Existujú riešenia, ktoré sa uvoľňujú, aby sa pokúsili bojovať proti problému podvodných webových stránok. Väčšina hlavných antivírusových nástrojov používa knižnice stránok na čiernej listine, ktoré používateľom pomáhajú pri prehliadaní internetu. Rýchlosť a frekvencia podvodov však znamená, že tieto nástroje nemusia byť vždy úplne aktuálne. Chrómové rozšírenie tzv Strážca peňaženky sa pokúša vyriešiť tento problém v priestore web3.
Wallet Guard povedal CryptoSlate:
„Nie každý má technické vzdelanie a nepohybuje sa v tomto priestore príliš dlho... naše rozšírenie sa nikdy nedotkne vašej peňaženky, potrebuje iba poznať doménu, ktorú sa pokúšate navštíviť.“
Nástroj označil adresu URL phishingovej stránky uverejnenej na Discordovom účte BorisVagnera a mohol pomôcť investorom pri rozhodovaní, či majú odkazu dôverovať.
Avšak ani nástroje, ako je tento, nie sú nezraniteľné. Sofistikovaný podvodník by sa teoreticky mohol dostať na oficiálny server Discord a zároveň zaútočiť na stránku ako Wallet Guard, aby vyzerala ako legitímna. Neočakáva sa však, že žiadny nástroj bude 100% nezraniteľný voči všetkým útokom. Mal by sa podporovať akýkoľvek spôsob, akým môžu investori znížiť možnosť, že sa stanú obeťou podvodu.
Napriek tomu každý phishingový podvod útočí na blockchainový projektový podvod, ktorý prichádza cez web2 pripojenie k blockchainovému projektu. Pridanie funkcionality web3 do technológie web2, ako je Discord, by mohlo výrazne zvýšiť jej bezpečnosť.
CryptoSlate oslovil Borisa Vagnera so žiadosťou o vyjadrenie, no nedostal odpoveď.
Zdroj: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/