NFT от Bored Ape Yacht Club стали неотъемлемой частью криптокультуры. Как одна из самых узнаваемых коллекций в среде NFT, она также стала главной целью для мошенников, хакеров и других сомнительных игроков.
По мере роста пространства NFT растет и изощренность эксплойтов и взломов. На выходных это было выставлено на всеобщее обозрение, поскольку изощренная схема привела к крупному ограблению коллекции Bored Ape.
Скучающий обезьяний блюз
Взломы и эксплойты, нацеленные на владельцев Bored Ape, не являются чем-то новым. Тематические исследования, связанные с коллекцией за последний год: от голливудского актера Сет Грин, ко всему Эксплойты раздора, мы видели множество успешных попыток взлома BAYC.
Хотя это не вина Yuga Labs, эти эксплойты продолжают проливать свет на то, насколько важна безопасность кошелька для владельцев популярной коллекции NFT. Кроме того, эти типы эксплойтов далеко не исключительны для яхт-клуба Bored Ape и обычно присутствуют во всех основных коллекциях NFT «голубых фишек».
Последний пример, связанный со всем этим, произошел на выходных и включал невероятные уровни социальной инженерии, оставив сообществу резкое напоминание о том, что сегодня недостаточно быть дотошным и внимательным к деталям, чтобы защитить свои активы.
Яхт-клуб Bored Ape создал огромное сообщество и последователей, включая специальный токен APE. | Источник: APE-USD на TradingView.com
Устранение нарушения
Взлом, произошедший в последние дни, привел к краже 14 NFT Bored Ape Yacht Club с помощью сложной схемы, включающей в себя социальную инженерию высокого уровня у одного владельца.
Это последний уровень взлома, который показывает уровень детализации и работы, которую злоумышленники готовы выполнить в современном мире. В этом случае хакеру удалось быстро ликвидировать NFT примерно на 850 ETH, или чуть более 1 миллиона долларов.
Подробная ветка от популярного аналитика безопасности web3 @Змей рассказывает историю лаконично и подробно.
Схема социальной инженерии заключалась в том, что хакер изображал из себя директора по кастингу в студии в Лос-Анджелесе, пытающейся получить лицензию NFT за значительную плату; пока студия существует, псевдоним, который использовал хакер, не существует. Однако поддельные домены электронной почты, многочасовые звонки, поддельные партнерские предложения и другие элементы привели к этому ограблению.
Схема разрабатывалась не меньше месяца. Это еще один пример того, что для высокодолларовых NFT наиболее безопасным вариантом является холодное хранение, а подписание контрактов или взаимодействие с ними может быть сопряжено со значительным риском, если они не подтверждены заранее. Как заключил Серпент в своей ветке, использование нескольких кошельков, подтверждение личности и отказ от случайных подписей или транзакций являются важными практическими правилами для держателей NFT.
Источник: https://bitcoinist.com/1m-bored-ape-collection-stolen/