Веб2 апликациите како Discord повторно се покажаа како слаба алка во арсеналот на блокчејн проекти. Над 175 ETH се исцедени од сметките на инвеститорите откако беше пробиен серверот на Bored Ape Yacht Club Discord. На @BorisVagner, кој беше промовиран во социјалните медиуми за Yuga Labs само во јануари 2022 година, му беше пробиена сметката на Discord. Напаѓачот потоа можеше да објави врски за фишинг преку официјалната сметка на BorisVagner на серверот Yuga Labs Discord.
Врската е редактирана за да ги заштити читателите од посета на страницата за фишинг. BAYC конечно објави соопштение 9 часа откако беше првпат објавено наведувајќи,
„Нашите Discord сервери беа накратко експлоатирани денес. Тимот го фати и брзо го реши. Се чини дека се погодени околу 200 ETH вредни NFT. Сè уште истражуваме, но ако сте погодени, испратете ни е-пошта на [заштитена по е-пошта]"
Во соопштението се наведува дека тимот „брзо го решил“ и ја потврдил вкупната вредност што ја изгубиле членовите како 200 ЕТХ. По денешната вредност која е 354 илјади долари исчезнаа за скоро никакво време. Недостатокот на итност во пријавувањето на проблемот до нејзината заедница и краткоста на објавата укажува на елемент на самозадоволство од страна на Yuga Labs.
Сметката на Управникот на заедницата е компромитирана.
Според Пекшилд, „Украдени се 32 NFT, вклучувајќи 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC“ Прекршувањето првично беше пријавено од OKHotshot, кој Твитер, „@BorisVagner беше пробиена неговата сметка, што им дозволи на измамниците да го извршат својот фишинг напад. Украдени се преку 145 Е во“. ОКХотшот ексклузивно ни кажа дека е околу 354 илјади долари.
„Треба да се придржуваат соодветни безбедносни практики за секој проект кој носи милиони приходи. Особено ако проектот е во топ 10 на пазарот. Немањето менаџер за безбедност значително го зголемува тој ризик“.
OKHotshot верува дека менаџерот за безбедност можел да го спречи ова бидејќи „тие би се справиле со несогласувањата со безбедносните практики, тимската политика и ќе се погрижат тие да се почитуваат. Ниту еден член на тимот не треба да ги отвора своите директни пораки, да клика на врски или да ги користи своите главни сметки на други сервери само за да даде неколку примери“. Yuga Labs имаат неколку работни улоги достапни, но нема безбедносни улоги во живо.
Реакција на заедницата
Крипто заедницата исто така беше гласна за проблемот преку тема објавена од корисникот на Reddit u/naji102. Корисниците разговараа за падот на довербата за NFT поради зголемувањето на измамите кои доаѓаат дури и од официјални извори. u/XnoonefromnowhereX коментираше: „Пораката имаше граматички грешки кои требаше да бидат црвено знаменце“, додека u/CrimsonFox99 емпатично изјави: „Тешко е да се обвинат во тој дел, особено доаѓа од наводен доверлив извор“.
Корисник на Твитер допре до OpenSea и LooksRare молејќи се „Само што кликнав на лажно тврдење за гоблин. Украдени се 2 MAYC и 8 кул мачки. … ве молам помогнете. Ми украдоа сè“. Повиците дојдоа од други корисници кои ја поддржуваат иницијативата за замрзнување на сметките на крадецот. Се чини дека често децентрализацијата се поддржува само додека на инвеститорите не им треба централизирана поддршка.
BAYC Discord беше компромитиран претходно
Ова не е прв пат серверот Discord да биде компромитиран. Серверот беше хакиран во април 2022 година, при што беше украден MAYC #8662. На приказната продолжи бидејќи подоцна стана познато дека тајванската поп-ѕвезда Џеј Чоу е сопственик на украдениот NFT вреден 550 илјади долари. Профилот на Discord беше компромитиран во двата наврати, дозволувајќи му на нападот да објавува врски за фишинг на официјални канали.
Заштита на веб2 инфраструктура поврзана со веб3
Се објавуваат решенија за обид за борба против проблемот со веб-страниците за измама. Повеќето главни антивирусни алатки користат библиотеки на страници на црната листа за да им помогнат на корисниците да прелистуваат на Интернет. Сепак, брзината и зачестеноста на измамите значат дека овие алатки можеби не се секогаш целосно ажурирани. Се нарекува екстензија на хром Чувар за паричник се обидува да го реши овој проблем во веб3 просторот.
Чуварот на паричникот изјави за CryptoSlate:
„Не секој има техничко искуство ниту бил предолго низ просторот… нашата екстензија никогаш не го допира вашиот паричник, туку само треба да го знае доменот што се обидувате да го посетите“.
Алатката ја означи URL-то на страницата за фишинг објавена на сметката Discord на BorisVagner и можеше да им помогне на инвеститорите да одлучат дали треба да и веруваат на врската.
Сепак, дури и алатките како оваа не се неповредливи. Софистициран измамник теоретски би можел да влезе во официјален сервер на Discord, а истовремено да напаѓа и локација како Wallet Guard за да изгледа дека е легална страница. Сепак, ниту една алатка не се очекува да биде 100% неповредлива за сите напади. Треба да се охрабри секој начин на кој инвеститорите можат да ја намалат шансата да станат жртви на измама.
Сепак, секоја фишинг измама напаѓа измама со блокчејн проект, таа доаѓа преку веб2 врска со блокчејн проектот. Додавањето веб3 функционалност на веб2 технологијата како што е Discord може драматично да ја зголеми нејзината безбедност.
CryptoSlate контактиравме со БорисВагнер за коментар, но не добија одговор.
Извор: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/