Акси Бесконечность есть объявил на своей странице в Twitter, что произошла взломка бота MEE6 на его сервере Discord. Команда MEE6 отрицает факт атаки на своего бота.
Бот MEE6 довольно популярен в Discord, многие серверы используют его для автоматизации сообщений и других функций.
18 мая Axie Infinity сообщила, что злоумышленники взломали бота и использовали его для добавления разрешений для поддельного аккаунта Jiho, который они впоследствии использовали для размещения фальшивого объявления о продаже мяты.
1/ Был взломан бот Mee6, который был установлен на главном сервере Axie. Злоумышленники использовали этого бота для добавления прав доступа к поддельной учетной записи Jiho, которая затем разместила поддельное объявление о монетном дворе.
— Axie Infinity🦇🔊 (@AxieInfinity) 18 мая 2022 года
К счастью, разработчики быстро обнаружили это. Они удалили взломанного бота и удалили сообщения. По словам представителей игровой платформы, она никогда не будет делать неожиданный минт и обычно анонсирует все подобные события в Twitter, Facebook, Discord и Substack.
Однако в сообщении также говорится, что некоторые пользователи все еще могут видеть удаленные сообщения, пока не перезапустят свой Discord. По крайней мере, один пользователь утверждает, что потерял NFT Невзаимозаменяемый токен, вид криптографических токенов, каждый экземпляр которых уникален (специфичен) и не может быть обменен или замещён другим аналогичным токеном, хотя обычно токены взаимозаменяемы по своей природе и домен из-за взлома.
Акси говорит, что и другие пострадали от такой же эксплуатации
Axie Infinity заявила, что компрометация не относится к ее серверу и что многие серверы с ботом MEE6 уже сталкивались с подобными проблемами. Cool Cats, RTFKT, PXN, PROOF/Moonbirds и Memeland сообщили о взломе учетных записей администраторов из-за бота.
4/ Это не было уникальным для Axie и происходило на многих серверах с установленным ботом Mee6.
— Axie Infinity🦇🔊 (@AxieInfinity) 18 мая 2022 года
По словам тех, кто знаком с безопасностью Discord, хакеры, скорее всего, сначала атаковали учетные записи администраторов. Затем они создали функцию реактивной роли из бота MEE6, который передал роль администратора другому аккаунту.
Таким образом, они могли отправлять сообщения webbook, не раскрывая взломанную учетную запись администратора.
MEE6 отрицает факт взлома
Компания MEE6 опровергла заявление о компрометации своего сервера Discord. Она заявила, что ни одно сообщество NFT не было скомпрометировано из-за ее бота.
«На момент написания этого сообщения с нами не связывался ни один реальный владелец сообщества, ни через Discord, ни через другие каналы связи поддержки. Мы проверили ситуацию с нашими инженерами, и никаких данных о необычной деятельности замечено не было», — говорится в заявлении.
Axie Infinity недавно подверглась атаке, в результате которой хакеры украли более 600 миллионов долларов n в своем родном жетоне AXS . Жетон испытывает трудности с эксплуатацией, даже после того, как компания привлечение новых средств вернуть деньги пользователям.
Доверие пользователей упал и продолжает снижаться из-за задержек и растущих проблем с безопасностью. В настоящее время AXS торгуется на уровне $21,6 с ATH $164,9 в ноябре 2021 года.
