Web2-applikationer som Discord har återigen visat sig vara den svaga länken i arsenalen av blockkedjeprojekt. Över 175 ETH har dränerats från investerares konton efter att Bored Ape Yacht club Discord-servern har brutits. @BorisVagner, som först befordrades till sociala medier för Yuga Labs i januari 2022, fick sitt Discord-konto brutet. Angriparen kunde sedan lägga upp nätfiske-länkar via BorisVagners officiella konto på Yuga Labs Discord-server.
Länken har redigerats för att skydda läsarna från att besöka nätfiskesidan. BAYC släppte slutligen ett uttalande 9 timmar efter att det först rapporterades anger,
"Våra Discord-servrar utnyttjades kort idag. Teamet fångade och åtgärdade det snabbt. Omkring 200 ETH-värde av NFT verkar ha påverkats. Vi undersöker fortfarande, men om du blev påverkad, maila oss på [e-postskyddad]"
Uttalandet rapporterade att teamet "åtgärdade det snabbt" och bekräftade det totala värdet som förlorats av medlemmar som 200 ETH. Till dagens värde är $354k borta på nästan nolltid alls. Bristen på brådska i att rapportera ärendet till dess gemenskap och kortheten i tillkännagivandet tyder på ett inslag av självgodhet från Yuga Labs.
Community Manager-kontot har äventyrats.
Enligt Peckshield, "32 NFTs stals, inklusive 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" Intrånget rapporterades initialt av OKHotshot, som Tweeted, “@BorisVagner fick sitt konto intrång, vilket lät bedragarna utföra sin nätfiskeattack. Över 145E in stals." OKHotshot berättade exklusivt för oss att det är runt $354k.
"Lämpliga säkerhetsrutiner bör upprätthållas för alla projekt som ger miljoner i intäkter. Speciellt om projektet är bland topp 10 på marknaden. Att inte ha en säkerhetschef ökar den risken avsevärt.”
OKHotshot tror att en säkerhetschef kunde ha förhindrat detta eftersom "de skulle hantera oenighetssäkerhetspraxis, teampolicy och se till att de upprätthålls. Ingen gruppmedlem ska ha sina direktmeddelanden öppna, klicka på länkar eller använda sina huvudkonton på andra servrar bara för att ge några exempel." Yuga Labs har flera arbetsroller tillgängliga, men inga säkerhetsroller är live.
Gemenskapens reaktion
Kryptogemenskapen var också högljudd om problemet genom en tråd postad av Reddit-användaren u/naji102. Användare diskuterade minskat förtroende för NFTs på grund av ökningen av bedrägerier som till och med kommer från officiella källor. u/XnoonefromnowhereX kommenterade, "Meddelandet hade grammatiska fel som borde ha varit en röd flagga", medan u/CrimsonFox99 empatiskt sa: "Svårt att skylla på dem på den delen, särskilt när det kommer från en förmodad pålitlig källa."
En Twitter-användare kontaktade OpenSea och LooksRare inlagan "Jag klickade precis på ett falskt trollpåstående. 2 MAYC och 8 coola katter stals. … snälla hjälp. De stal allt från mig." Samtal kom från andra användare som stödde initiativet att frysa tjuvens konton. Det verkar som om decentralisering ofta bara stöds tills investerare behöver centraliserat stöd.
BAYC Discord kompromissade tidigare
Det är inte första gången Discord-servern har varit äventyras. Servern hackades i april 2022 och MAYC #8662 blev stulen. De historien fortsatte som det senare blev känt att den taiwanesiska popsuperstjärnan Jay Chou var ägaren till den stulna NFT värd $550k. En Discord-profil äventyrades vid båda tillfällena, vilket gjorde att attacken kunde lägga upp nätfiske-länkar på officiella kanaler.
Skyddar web2-infrastruktur kopplad till web3
Det finns lösningar som släpps för att försöka bekämpa problemet med bluffwebbplatser. De flesta större antivirusverktyg använder bibliotek med svartlistade webbplatser för att hjälpa användare att surfa på internet. Men hastigheten och frekvensen av bedrägerier gör att dessa verktyg kanske inte alltid är helt uppdaterade. En chrome-tillägg som kallas Plånboksskydd försöker lösa detta problem i web3-utrymmet.
Wallet Guard sa till CryptoSlate:
"Alla har inte en teknisk bakgrund och har inte heller funnits i utrymmet för länge... vårt tillägg rör aldrig din plånbok, det behöver bara känna till domänen du försöker besöka."
Verktyget flaggade webbadressen till nätfiskesidan som lagts upp på BorisVagners Discord-konto och kunde ha hjälpt investerare att bestämma om de skulle lita på länken.
Men även verktyg som detta är inte osårbara. En sofistikerad bedragare kan teoretiskt sett komma in på en officiell Discord-server samtidigt som han attackerar en webbplats som Wallet Guard för att få den att se ut som en legitim webbplats." Inget verktyg förväntas dock vara 100 % osårbart för alla attacker. Alla sätt som investerare kan minska risken för att de faller offer för bedrägerier bör uppmuntras.
Ändå attackerar varje nätfiskebedrägeri en bedrägeri med blockchainprojekt, den kommer genom en web2-anslutning till blockchainprojektet. Att lägga till web3-funktionalitet till web2-teknik som Discord kan dramatiskt öka dess säkerhet.
CryptoSlate hörde av sig till BorisVagner för kommentar men fick inget svar.
Källa: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/