Web2-приложения, такие как Discord, снова оказались слабым звеном в арсенале блокчейн-проектов. Более 175 ETH было выведено со счетов инвесторов после взлома сервера Discord яхт-клуба Bored Ape. У @BorisVagner, который только в январе 2022 года получил должность в отделе социальных медиа Yuga Labs, был взломан аккаунт Discord. Затем злоумышленник смог разместить фишинговые ссылки через официальный аккаунт BorisVagner на сервере Yuga Labs Discord.
Ссылка была отредактирована, чтобы защитить читателей от посещения фишингового сайта. BAYC, наконец, опубликовал заявление через 9 часов после того, как об этом впервые стало известно говорящий,
«Сегодня наши серверы Discord подверглись кратковременной эксплуатации. Команда быстро обнаружила и устранила проблему. Похоже, что пострадали NFT Невзаимозаменяемый токен, вид криптографических токенов, каждый экземпляр которых уникален (специфичен) и не может быть обменен или замещён другим аналогичным токеном, хотя обычно токены взаимозаменяемы по своей природе на сумму около 200 ETH. Мы продолжаем расследование, но если вы пострадали, напишите нам по адресу [email protected]».
В заявлении сообщалось, что команда «быстро решила проблему» и подтвердила, что общая сумма, потерянная участниками, составила 200 ETH. По сегодняшнему курсу это $354 тыс., которые пропали практически мгновенно. Отсутствие срочности в информировании сообщества о случившемся и краткость заявления наводят на мысль об элементах самоуспокоенности со стороны Yuga Labs.
Учетная запись менеджера сообщества взломана.
Согласно Peckshield 32 NFT были украдены, включая 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC» О взломе первоначально сообщила компания OKHotshot. написал в твиттере , «Учетная запись @BorisVagner была взломана, что позволило мошенникам осуществить фишинговую атаку. Было украдено более 145E». OKHotshot сообщил нам, что она составляет около 354 тысяч долларов.
«Надлежащая практика безопасности должна соблюдаться для любого проекта, приносящего миллионные доходы. Особенно если проект входит в топ-10 рынка. Отсутствие менеджера по безопасности значительно увеличивает этот риск».
OKHotshot считает, что менеджер по безопасности мог бы предотвратить это, так как «они занимаются вопросами безопасности в Discord, политикой команды и следят за их соблюдением. Ни один член команды не должен иметь открытыми свои прямые сообщения, переходить по ссылкам или использовать свои основные аккаунты на других серверах, и это лишь несколько примеров». Yuga Labs несколько должностных обязанностей доступны, но ни одна роль безопасности не работает.
Реакция общества
Криптосообщество также высказалось по этому вопросу в теме, опубликованной пользователем Reddit u/naji102. Пользователи обсудили падение доверия к НФТ в связи с ростом мошенничества, которое исходит даже от официальных источников. u/XnoonefromnowhereX прокомментировал: «В сообщении были грамматические ошибки, которые должны были стать тревожным сигналом», а u/CrimsonFox99 сочувственно заявил: «Трудно винить их в этой части, особенно исходящей от якобы надежного источника».
Пользователь Twitter связался с OpenSea и LooksRare мольба «Я только что нажал на поддельное заявление гоблина. 2 MAYC и 8 крутых котов были украдены. … пожалуйста, помогите. Они украли у меня все». Поступили звонки от других пользователей, поддерживающих инициативу заморозить счета воров. Похоже, что часто децентрализация Распределение ресурсов между несколькими органами управления, в место одного поддерживается только до тех пор, пока инвесторам не понадобится централизованная поддержка.
BAYC Discord скомпрометирован до
Это не первый раз, когда сервер Discord был скомпрометированный . Сервер был взломан в апреле 2022 года, при этом был украден MAYC #8662. Сайт продолжение истории как позже стало известно, тайваньская поп-суперзвезда Джей Чоу была владельцем украденного NFT стоимостью 550 тысяч долларов. В обоих случаях был взломан профиль Discord, что позволило атаке разместить фишинговые ссылки на официальных каналах.
Защита инфраструктуры web2, привязанной к web3
Существуют решения, направленные на борьбу с проблемой мошеннических сайтов. Большинство основных антивирусных инструментов используют библиотеки сайтов из черного списка, чтобы помочь пользователям при работе в Интернете. Однако скорость и частота появления мошенников означает, что эти инструменты не всегда могут быть полностью актуальными. Расширение для хрома под названием Охранник кошелька попытки решить эту проблему в пространстве web3.
Wallet Guard сообщил CryptoSlate:
«Не все имеют техническое образование или слишком долго работают в этой сфере… Наше расширение никогда не касается вашего кошелька, ему достаточно знать домен, который вы пытаетесь посетить».
The tool flagged the URL of the phishing site posted to BorisVagner’s Discord account and could have aided investors in deciding if they should trust Траст - это фидуциарные отношения, в которых одна сторона, известная как доверитель, предоставляет другой стороне, доверительному управляющему, право владения имуществом или активами в интересах третьей стороны, бенефициара. the link.
Однако даже такие инструменты не являются неуязвимыми. Изощренный мошенник Мошенник - это человек, который участвует в мошеннической схеме. теоретически может проникнуть на официальный сервер Discord и одновременно атаковать такой сайт, как Wallet Guard, чтобы создать впечатление, что это легальный сайт». Однако ни один инструмент не может быть на 100% неуязвим для всех атак. Любой способ снизить вероятность того, что инвесторы станут жертвами мошенников, должен поощряться.
Тем не менее, каждая фишинговая афера, атакующая блокчейн-проект, проходит через web2-соединение с блокчейн-проектом. Добавление функциональности web3 к технологии web2, такой как Discord, может значительно повысить ее безопасность.
CryptoSlate обратились за комментарием к BorisVagner, но не получили ответа.
