Aplicațiile Web2 precum Discord s-au dovedit din nou a fi veriga slabă din arsenalul proiectelor blockchain. Peste 175 de ETH au fost scurși din conturile investitorilor după ce serverul Discord de la Bored Ape Yacht club a fost încălcat. @BorisVagner, care a fost promovat pe Social Media pentru Yuga Labs abia în ianuarie 2022, i s-a încălcat contul Discord. Atacatorul a putut apoi să posteze linkuri de phishing prin contul oficial al lui BorisVagner pe serverul Yuga Labs Discord.
Linkul a fost redactat pentru a proteja cititorii de a vizita site-ul de phishing. BAYC a lansat în sfârșit o declarație la 9 ore după ce a fost raportată pentru prima dată precizând,
„Serverele noastre Discord au fost exploatate pentru scurt timp astăzi. Echipa a prins-o și a abordat-o rapid. Aproximativ 200 de ETH de NFT par să fi fost afectate. Încă investigăm, dar dacă ați fost afectat, trimiteți-ne un e-mail la [e-mail protejat]Matei 22:21
Declarația a raportat că echipa „a abordat-o rapid” și a confirmat valoarea totală pierdută de membri ca fiind 200 ETH. La valoarea de astăzi, care este de 354 USD, a dispărut aproape în cel mai scurt timp. Lipsa de urgență în raportarea problemei către comunitatea sa și concizia anunțului sugerează un element de mulțumire din partea Yuga Labs.
Contul de Community Manager a fost compromis.
În conformitate cu Peckshield, „32 de NFT au fost furate, inclusiv 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC” Încălcarea a fost raportată inițial de OKHotshot, care tweeter, „@BorisVagner și-a spart contul, ceea ce a permis escrocii să-și execute atacul de phishing. Peste 145 E in a fost furat.” OKHotshot ne-a spus în exclusivitate că este în jur de 354 USD.
„Practicile adecvate de securitate ar trebui să fie respectate pentru orice proiect care generează venituri de milioane. Mai ales dacă proiectul se află în top 10 al pieței. Lipsa unui manager de securitate crește acest risc în mod semnificativ.”
OKHotshot crede că un manager de securitate ar fi putut preveni acest lucru, deoarece „s-ar ocupa de practicile de securitate discordante, de politica echipei și s-ar asigura că sunt respectate. Niciun membru al echipei nu ar trebui să aibă mesajele directe deschise, să facă clic pe linkuri sau să-și folosească conturile principale pe alte servere doar pentru a da câteva exemple.” Yuga Labs au mai multe roluri de muncă disponibile, dar nu există roluri de securitate live.
Reacția comunității
Comunitatea cripto a vorbit și ea cu privire la problemă printr-un fir postat de utilizatorul Reddit u/naji102. Utilizatorii au discutat despre scăderea încrederii pentru NFT din cauza creșterii înșelătoriilor care vin chiar din surse oficiale. u/XnoonefromnowhereX a comentat: „Mesajul avea erori gramaticale care ar fi trebuit să fie un steag roșu”, în timp ce u/CrimsonFox99 a declarat empatic: „E greu să-i învinuiesc din această parte, mai ales venind dintr-o presupusă sursă de încredere”.
Un utilizator de Twitter a contactat OpenSea și LooksRare rugându-se „Tocmai am făcut clic pe o revendicare de spiriduș fals. 2 MAI și 8 pisici cool au fost furate. … te rog ajuta-ma. Mi-au furat totul.” Apeluri au venit de la alți utilizatori care susțin inițiativa de a îngheța conturile hoțului. Se pare că deseori descentralizarea este susținută doar până când investitorii au nevoie de sprijin centralizat.
BAYC Discord compromis înainte
Nu este prima dată când este serverul Discord compromis. Serverul a fost spart în aprilie 2022, MAYC #8662 fiind furat. The povestea a continuat deoarece s-a cunoscut mai târziu că superstarul pop taiwanez Jay Chou era proprietarul NFT furat în valoare de 550 USD. Un profil Discord a fost compromis în ambele ocazii, permițând atacului să posteze linkuri de phishing pe canalele oficiale.
Protejarea infrastructurii web2 legată de web3
Sunt lansate soluții pentru a încerca să combată problema site-urilor web înșelătorie. Majoritatea instrumentelor antivirus majore folosesc biblioteci de site-uri aflate pe lista neagră pentru a ajuta utilizatorii să navigheze pe internet. Cu toate acestea, viteza și frecvența înșelătoriilor înseamnă că este posibil ca aceste instrumente să nu fie întotdeauna complet actualizate. O extensie Chrome numită Garda portofel încearcă să rezolve această problemă în spațiul web3.
Wallet Guard a spus CryptoSlate:
„Nu toată lumea are cunoștințe tehnice și nici nu a fost prin spațiu prea mult timp… extensia noastră nu atinge niciodată portofelul tău, trebuie doar să cunoască domeniul pe care încerci să-l vizitezi.”
Instrumentul a semnalat adresa URL a site-ului de phishing postat în contul Discord al lui BorisVagner și ar fi putut ajuta investitorii să decidă dacă ar trebui să aibă încredere în link.
Cu toate acestea, chiar și instrumente ca acesta nu sunt invulnerabile. Un escroc sofisticat ar putea, teoretic, să intre pe un server oficial Discord, atacând în același timp un site precum Wallet Guard pentru a-l face să pară un site legitim.” Cu toate acestea, niciun instrument nu este de așteptat să fie 100% invulnerabil la toate atacurile. Orice mod în care investitorii pot reduce șansele ca aceștia să devină victime ale fraudei ar trebui încurajat.
Totuși, fiecare înșelătorie de phishing atacă o înșelătorie a unui proiect blockchain, care vine printr-o conexiune web2 la proiectul blockchain. Adăugarea funcționalității web3 la tehnologia web2, cum ar fi Discord, ar putea crește dramatic securitatea acesteia.
CryptoSlate a contactat BorisVagner pentru comentarii, dar nu a primit un răspuns.
Sursa: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-loss/