NFT's, Crypto gestolen nadat de Twitter van Web3 Gaming CEO Gabriel Leydon is gehackt

Social media-zwendel bloeien in de crypto-ruimte en NFT verzamelaars verliezen hun vermogen door aanvallen die worden gepleegd via gekaapte accounts. Het laatste voorbeeld gebeurde gisteravond, met tientallen NFT's en ongeveer $ 30,000 aan cryptocurrency gestolen via een zwendel die werd gedeeld via het account van een bekende Web3 spel ontwikkelaar.

Op woensdag is het Twitter-account van Gabriël Leydon—mede-oprichter en CEO van Limit Break, de gaming-startup achter anime-geïnspireerde Ethereum NFT-project, DigiDaigaku—werd blijkbaar overgenomen door een onbevoegde gebruiker. Het account ging door met het delen van een link naar wat was gefactureerd als toegang tot een toelatingslijst om een ​​munt veilig te stellen voor een gratis DigiDaigaku NFT.

In plaats daarvan, wanneer gebruikers interactie hadden met de website en de transactie goedkeurden, gevraagd door de slim contract-dat wil zeggen, de code die NFT's en autonoom aanstuurt gedecentraliseerde apps-een aanvaller stal in plaats daarvan NFT's en cryptocurrency van hun respectievelijke portefeuilles. Transacties op blockchain-netwerken kunnen niet worden teruggedraaid door een derde partij, zoals een bank of creditcardmaatschappij zou doen in het geval van fraude of diefstal.

De aanvaller heeft tientallen NFT's van gebruikers gestolen, in totaal mogelijk tienduizenden dollars aan Ethereum waard. De meest waardevolle van hen was veruit een Mutant Ape jachtclub NFT, die de aanvaller snel verkocht voor 12.39 ETH (toen ongeveer $ 19,100). Bovendien lijkt de portemonnee te hebben: ongeveer $ 30,000 aan crypto genomen van gebruikers.

Leydon heeft sindsdien zijn Twitter-account hersteld en de schuld gegeven aan mobiele provider AT&T in een via tweet gedeeld spraakbericht. In een direct bericht naar decoderen, beweerde Leydon dat een AT&T-medewerker "al mijn beveiligingsbeschermingen [een] opheffing deed en [een] ongeautoriseerde SIM-swap uitvoerde."

Een SIM-swap-aanval wordt meestal gebruikt om tweeledige autorisatieprotocollen op accounts te omzeilen. De aanvaller kan het betreffende mobiele telefoonnummer overnemen en het vervolgens gebruiken om toegang te krijgen tot beveiligde accounts, inclusief sociale media, waar ze zich vervolgens kunnen voordoen als de eigenaar van het account.

Leydon beweerde dat een werknemer de beveiligingen "rondging" die waren ingesteld op zijn AT&T-account, en zei dat Limit Break contact heeft met het bedrijf over de beschuldigingen. AT&T-vertegenwoordigers keerden niet onmiddellijk terug decoderen's verzoek om commentaar.

The Limit Break CEO vertelde decoderen dat de studio de aanval onderzoekt en dat het zal werken om gebruikers van wie de activa zijn gestolen, te helpen. "Het is een verschrikkelijke situatie, en zodra we zeker weten dat de persoon is aangevallen, zullen we die persoon helpen", zei Leydon.

ZachXBT, een bekende pseudonieme blockchain-onderzoeker, tweette dat de aanval lijkt te zijn: gekoppeld aan Monkey Drainer, een oplichter die onlangs heeft greep miljoenen dollars waard van NFT's en crypto-activa.

Twitter is de afgelopen maanden belaagd door soortgelijke aanvallen. In sommige gevallen wordt het account van een bekende NFT-artiest of de maker van een project gehackt en gebruikt om deze zogenaamde "wallet drainer"-zwendel te verspreiden. De opkomst van deze oplichting heeft geleid tot een debat over de verantwoordelijkheid die Web3-makers hebben om gebruikers te compenseren die daardoor hun vermogen verliezen.

Op andere momenten zijn geverifieerde accounts van niet-gelieerde gebruikers, zoals journalisten, gekaapt, omgedoopt tot officiële projectaccounts en gebruikt om exploits te verspreiden. Dat gebeurde eerder dit jaar vaker, vooral rond projecten als azuki en Andere kant, maar het lijkt erop dat Twitter het beveiligingslek aanpakte dat deze geverifieerde accountexploits mogelijk maakte.

Limit Break werd in 2021 opgericht door Leydon en Halbert Nakagawa, voorheen mede-oprichters van de mobiele gamestudio Machine Zone, die succesvolle titels als Game of War: Fire Age en Mobile Strike heeft voortgebracht. De Web3-startup haalde 200 miljoen dollar op, zoals aangekondigd in augustus, van bedrijven als FTX, Coinbase Ventures en Paradigm.

DigiDaigaku wordt gefactureerd als een "free-to-own" spel bedoeld om weg te gaan van het vluchtige model om te verdienen gepopulariseerd door Axie Oneindigheid. De originele Genesis NFT-profielfoto's (PFP's) van het project werden in augustus gelanceerd met een gratis munt en hebben een meer dan 9,000 ETH waard van het handelsvolume tot nu toe, of ongeveer $ 14 miljoen op basis van de huidige prijs van ETH.

Limit Break beweert dat het in februari 2023 een commercieel slot heeft gekocht voor DigiDaigaku voor Super Bowl LVII tegen een prijskaartje van $ 6.5 miljoen, een grote investering voor een potentiële kans om het Web3-project aan een groter publiek te tonen.