Web2-applikationer som Discord har igen vist sig at være det svage led i arsenalet af blockchain-projekter. Over 175 ETH er blevet drænet fra investorernes konti, efter at Bored Ape Yacht club Discord-serveren blev brudt. @BorisVagner, som først blev forfremmet til sociale medier for Yuga Labs i januar 2022, fik sin Discord-konto brudt. Angriberen var derefter i stand til at sende phishing-links via BorisVagners officielle konto på Yuga Labs Discord-server.
Linket er blevet redigeret for at beskytte læserne mod at besøge phishing-siden. BAYC udgav endelig en erklæring 9 timer efter den første gang blev rapporteret fastslår:
"Vores Discord-servere blev kortvarigt udnyttet i dag. Holdet fangede og rettede det hurtigt. Omkring 200 ETH-værdier af NFT'er ser ud til at være blevet påvirket. Vi undersøger stadig, men hvis du blev berørt, så e-mail os på [e-mail beskyttet]"
Erklæringen rapporterede, at holdet "rettede det hurtigt" og bekræftede, at den samlede værdi tabt af medlemmer var 200 ETH. Med dagens værdi er $354k væk på næsten ingen tid overhovedet. Manglen på presserende rapportering af sagen til dets samfund og kortheden af meddelelsen tyder på et element af selvtilfredshed fra Yuga Labs.
Community Manager-konto kompromitteret.
Ifølge Peckshield, "32 NFT'er blev stjålet, inklusive 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" Bruddet blev oprindeligt rapporteret af OKHotshot, som Tweetet, “@BorisVagner fik sin konto brudt, hvilket lod svindlerne udføre deres phishing-angreb. Over 145E blev stjålet." OKHotshot fortalte os udelukkende, at det er omkring $354k.
"Den korrekte sikkerhedspraksis bør opretholdes for ethvert projekt, der giver millioner i omsætning. Især hvis projektet er i top 10 på markedet. Ikke at have en sikkerhedschef øger denne risiko markant."
OKHotshot mener, at en sikkerhedschef kunne have forhindret dette, da "de ville håndtere uoverensstemmelsessikkerhedspraksis, teampolitik og sørge for, at de bliver opretholdt. Intet teammedlem bør have deres direkte beskeder åbne, klikke på links eller bruge deres hovedkonti på andre servere bare for at give nogle få eksempler." Yuga Labs har flere jobroller tilgængelig, men ingen sikkerhedsroller er live.
Fællesskabsreaktion
Krypto-fællesskabet var også højtråbende om problemet gennem en tråd indsendt af Reddit-brugeren u/naji102. Brugere diskuterede faldet i tillid til NFT'er på grund af stigningen i svindel, der endda kommer fra officielle kilder. u/XnoonefromnowhereX kommenterede: "Beskeden havde grammatiske fejl, der burde have været et rødt flag," mens u/CrimsonFox99 empatisk sagde: "Svært at bebrejde dem på den del, især kommer fra en formodet betroet kilde."
En Twitter-bruger kontaktede OpenSea og LooksRare mange undskyldninger "Jeg har lige klikket på en falsk goblin-påstand. 2 MAYC og 8 seje katte blev stjålet. … hjælp venligst. De stjal alt fra mig.” Der kom opkald fra andre brugere, der støttede initiativet til at fastfryse tyvens konti. Det ser ud til, at decentralisering ofte kun understøttes, indtil investorerne har brug for centraliseret støtte.
BAYC Discord kompromitteret før
Det er ikke første gang, Discord-serveren har været kompromitteret. Serveren blev hacket i april 2022, hvor MAYC #8662 blev stjålet. Det historien fortsatte da det senere blev kendt, at den taiwanske pop-superstjerne Jay Chou var ejeren af den stjålne NFT til en værdi af $550k. En Discord-profil blev kompromitteret ved begge lejligheder, hvilket gjorde det muligt for angrebet at sende phishing-links på officielle kanaler.
Beskyttelse af web2-infrastruktur knyttet til web3
Der er frigivet løsninger for at forsøge at bekæmpe problemet med fupwebsteder. De fleste større antivirusværktøjer bruger biblioteker med sortlistede websteder til at hjælpe brugere med at surfe på internettet. Men hastigheden og hyppigheden af svindel betyder, at disse værktøjer ikke altid er helt opdaterede. En chrome-udvidelse kaldet Pungbeskytter forsøger at løse dette problem i web3-rummet.
Wallet Guard fortalte CryptoSlate:
"Ikke alle har en teknisk baggrund og har heller ikke været i rummet for længe... vores udvidelse rører aldrig din tegnebog, den skal kun kende det domæne, du forsøger at besøge."
Værktøjet markerede URL'en på phishing-siden, der blev lagt ud på BorisVagners Discord-konto og kunne have hjulpet investorer med at beslutte, om de skulle stole på linket.
Selv værktøjer som dette er dog ikke usårlige. En sofistikeret svindler kunne teoretisk set komme ind på en officiel Discord-server og samtidig angribe et websted som Wallet Guard for at få det til at se ud som et lovligt websted." Intet værktøj forventes dog at være 100 % usårligt over for alle angreb. Enhver måde, hvorpå investorer kan reducere risikoen for, at de bliver ofre for svindel, bør tilskyndes.
Alligevel angriber hvert phishing-svindel et blockchain-projektsvindel, det kommer gennem en web2-forbindelse til blockchain-projektet. Tilføjelse af web3-funktionalitet til web2-teknologi såsom Discord kan dramatisk øge sikkerheden.
CryptoSlate kontaktede BorisVagner for en kommentar, men modtog ikke et svar.
Kilde: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/