Den 4. juni led det populære nonfungible token eller NFT-projekt Bored Ape Yacht Club (BAYC) sit tredje sikkerhedskompromis i år. Næsten 142 Ether (ETH) ($250,000) af NFT'er blev stjålet, efter at hackere fik adgang til Discord-kontoen for en BAYC community manager og postede en besked med et link til en falsk hjemmeside.
Linket annoncerede en tidsbegrænset gratis-NFT giveaway til brugere, der tilsluttede deres tegnebøger, som derefter blev drænet for NFT'er. Ved to tidligere lejligheder i april brød hackere BAYC's Discord- og Instagram-sider og formåede at hente 91 NFT'er til en værdi af over $1.3 millioner på tidspunktet for det andet forsøg via et phishing-link.
As fortalt af blockchain-sikkerhedsfirmaet CertiK flyttede hackere hurtigt stjålne midler til obfuskationsplatformen Tornado Cash, hvilket gjorde det umuligt at spore yderligere pengestrømme på blockchain. I en erklæring til Cointelegraph forklarede kilder hos CertiK, at uanset hvor legitimt projektet kan virke, "bør NFT-indehavere også være meget mistænksomme over for enhver, der hævder at tilbyde gratis aktiver, da disse ofte kan være phishing-angreb." Derudover skrev CertiK:
"I tilfældet med angrebet den 4. juni havde det ondsindede carbon-copy-websted nogle små forskelle. For det første var der ingen links til sociale medier på phishing-siden. Der var også en tilføjet fane med titlen "claim free land" og specifikt målrettet populære NFT-projekter.
Som en sikkerhedsforanstaltning anbefalede Certik kryptoentusiaster at kigge efter subtile særheder på sådanne websteder, da de ofte er en indikator for ondsindet aktivitet. "I det mindste bør brugere, der deltager i sådanne giveaways, altid gøre en indsats for at bekræfte legitimiteten af webstedet ved at sammenligne det med et kendt og bekræftet websted og se efter eventuelle uoverensstemmelser," konkluderede de.
Kilde: https://cointelegraph.com/news/certik-shares-security-tips-following-third-bayc-security-compromise-in-six-months