Приложения Web2, такие как Discord, снова оказались слабым звеном в арсенале блокчейн-проектов. Более 175 ETH было слито со счетов инвесторов после взлома сервера Discord яхт-клуба Bored Ape. @BorisVagner, который был переведен в социальные сети для Yuga Labs только в январе 2022 года, взломал свою учетную запись Discord. Затем злоумышленник смог разместить фишинговые ссылки через официальный аккаунт Бориса Вагнера на сервере Discord Yuga Labs.
Ссылка была отредактирована, чтобы защитить читателей от посещения фишингового сайта. BAYC наконец опубликовала заявление через 9 часов после того, как о нем впервые сообщили. о том,
«Сегодня наши серверы Discord были ненадолго взломаны. Команда быстро это заметила и устранила. Похоже, что NFT на сумму около 200 ETH были затронуты. Мы все еще проводим расследование, но если вас это затронуло, напишите нам по адресу [электронная почта защищена]
В заявлении сообщается, что команда «быстро решила проблему» и подтвердила, что общая сумма, потерянная участниками, составляет 200 ETH. По сегодняшнему курсу это 354 XNUMX долларов практически мгновенно. Отсутствие срочности в сообщении об этом сообществу и краткость объявления предполагают элемент самоуспокоенности со стороны Yuga Labs.
Аккаунт менеджера сообщества взломан.
По Пекшилд«Было украдено 32 NFT, в том числе 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC». чирикнул, «Учетная запись @BorisVagner была взломана, что позволило мошенникам провести фишинговую атаку. Было украдено более 145 евро». ОК сказал нам эксклюзивно, что это около 354 тысяч долларов.
«Для любого проекта, приносящего миллионы долларов, необходимо соблюдать надлежащие методы обеспечения безопасности. Особенно, если проект входит в топ-10 рынка. Отсутствие менеджера по безопасности значительно увеличивает этот риск».
OKHotshot считает, что менеджер по безопасности мог бы предотвратить это, поскольку «он занимался бы методами безопасности разногласий, командной политикой и следил за их соблюдением. Ни один член команды не должен открывать свои личные сообщения, нажимать на ссылки или использовать свои основные учетные записи на других серверах, просто чтобы привести несколько примеров». Лаборатории Юга несколько рабочих ролей доступны, но нет активных ролей безопасности.
Реакция сообщества
Криптовалютное сообщество также высказалось по поводу проблемы в треде, опубликованном пользователем Reddit u/naji102. Пользователи обсудили падение доверия к NFT из-за роста мошенничества, которое исходит даже из официальных источников. u/XnoonefromnowhereX прокомментировал: «В сообщении были грамматические ошибки, которые должны были насторожить», а u/CrimsonFox99 с сочувствием заявил: «Трудно винить их в этой части, особенно если они исходят от предполагаемого надежного источника».
Пользователь Twitter обратился к OpenSea и LooksRare умоляющий «Я только что нажал на поддельное заявление гоблина. 2 MAYC и 8 крутых котов были украдены. … пожалуйста помоги. Они украли у меня все». Звонки поступали от других пользователей, поддерживающих инициативу по заморозке аккаунтов вора. Кажется, что часто децентрализация поддерживается только до тех пор, пока инвесторам не понадобится централизованная поддержка.
BAYC Discord был скомпрометирован ранее
Это не первый раз, когда сервер Discord скомпрометированный. Сервер был взломан в апреле 2022 года, украден MAYC #8662. история продолжение как позже стало известно, что суперзвезда тайваньской эстрады Джей Чоу был владельцем украденного NFT на сумму 550 тысяч долларов. Профиль Discord был взломан в обоих случаях, что позволило злоумышленникам разместить фишинговые ссылки на официальных каналах.
Защита инфраструктуры web2, привязанной к web3
Выпускаются решения, направленные на борьбу с мошенническими веб-сайтами. Большинство основных антивирусных инструментов используют библиотеки сайтов из черного списка, чтобы помочь пользователям просматривать Интернет. Однако скорость и частота мошенничества означают, что эти инструменты не всегда могут быть полностью обновлены. Расширение для Chrome под названием Защита кошелька попытки решить эту проблему в пространстве web3.
Wallet Guard сообщил CryptoSlate:
«Не у всех есть техническое образование и они слишком долго работают в этом пространстве… наше расширение никогда не касается вашего кошелька, ему нужно только знать домен, который вы пытаетесь посетить».
Инструмент помечал URL-адрес фишингового сайта, размещенный в учетной записи Бориса Вагнера в Discord, и мог бы помочь инвесторам решить, следует ли им доверять ссылке.
Однако даже такие инструменты не являются неуязвимыми. Теоретически изощренный мошенник может проникнуть на официальный сервер Discord, а также атаковать такой сайт, как Wallet Guard, чтобы он выглядел как законный сайт». Однако ожидается, что ни один инструмент не будет на 100% неуязвим для всех атак. Следует поощрять любые способы, с помощью которых инвесторы могут снизить вероятность того, что они станут жертвами мошенничества.
Тем не менее, каждое мошенничество с фишингом атакует мошенничество с проектом блокчейна, которое происходит через соединение web2 с проектом блокчейна. Добавление функциональности web3 к технологии web2, такой как Discord, может значительно повысить ее безопасность.
CryptoSlate обратился к БорисВагнеру за комментарием, но не получил ответа.
Источник: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/