Web2-applicaties zoals Discord blijken opnieuw de zwakke schakel te zijn in het arsenaal aan blockchainprojecten. Er is meer dan 175 ETH van de rekeningen van investeerders gehaald nadat de Bored Ape Yacht club Discord-server was gehackt. Bij @BorisVagner, die pas in januari 2022 werd gepromoveerd tot Social Media voor Yuga Labs, werd zijn Discord-account geschonden. De aanvaller kon vervolgens phishing-links plaatsen via het officiële account van BorisVagner op de Yuga Labs Discord-server.
De link is geredigeerd om te voorkomen dat lezers de phishingsite bezoeken. BAYC heeft eindelijk een verklaring vrijgegeven 9 uur nadat deze voor het eerst werd gemeld onder vermelding,
“Onze Discord-servers zijn vandaag kort uitgebuit. Het team ving het op en loste het snel op. Ongeveer 200 ETH aan NFT's lijken te zijn beïnvloed. We zijn nog bezig met onderzoek, maar als u getroffen bent, kunt u ons een e-mail sturen op: [e-mail beveiligd]"
De verklaring meldde dat het team "het snel heeft opgelost" en bevestigde de totale waarde die leden verloren hadden als 200 ETH. Tegen de huidige waarde is dat in een mum van tijd $ 354k verdwenen. Het gebrek aan urgentie bij het melden van de zaak aan de gemeenschap en de beknoptheid van de aankondiging suggereert een element van zelfgenoegzaamheid bij Yuga Labs.
Community Manager-account gehackt.
Think Peckschild, "32 NFT's werden gestolen, waaronder 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" De inbreuk werd aanvankelijk gemeld door OKHotshot, die tweeted, "@BorisVagner kreeg zijn account geschonden, waardoor de oplichters hun phishing-aanval konden uitvoeren. Er is meer dan 145E in gestolen.” OKHotshot vertelde ons exclusief dat het ongeveer $ 354k is.
"De juiste beveiligingspraktijken moeten worden gehandhaafd voor elk project dat miljoenen inkomsten oplevert. Zeker als het project in de top 10 van de markt staat. Het ontbreken van een security manager vergroot dat risico aanzienlijk.”
OKHotshot is van mening dat een beveiligingsmanager dit had kunnen voorkomen, omdat "ze de beveiligingspraktijken van onenigheid en het teambeleid zouden afhandelen en ervoor zouden zorgen dat ze worden nageleefd. Geen enkel teamlid mag zijn directe berichten open hebben staan, op links klikken of zijn hoofdaccounts op andere servers gebruiken om maar een paar voorbeelden te geven.” Yuga Labs hebben verschillende functies beschikbaar, maar er zijn geen beveiligingsrollen actief.
Reactie van de gemeenschap
De cryptogemeenschap sprak ook over het probleem via een thread die werd gepost door Reddit-gebruiker u/naji102. Gebruikers bespraken de daling van het vertrouwen in NFT's als gevolg van de toename van oplichting die zelfs uit officiële bronnen komt. u/XnoonefromnowhereX merkte op: "Het bericht bevatte grammaticale fouten die een rode vlag hadden moeten zijn", terwijl u/CrimsonFox99 empathisch verklaarde: "Het is moeilijk om ze de schuld te geven van dat deel, vooral als het afkomstig is van een veronderstelde vertrouwde bron."
Een Twitter-gebruiker nam contact op met OpenSea en LooksRare pleidooi "Ik heb zojuist op een nep-koboldclaim geklikt. 2 MAYC en 8 coole katten werden gestolen. … Help alstublieft. Ze hebben alles van me gestolen." Er kwamen telefoontjes van andere gebruikers die het initiatief steunden om de accounts van de dief te blokkeren. Het lijkt erop dat decentralisatie vaak alleen wordt ondersteund totdat investeerders gecentraliseerde ondersteuning nodig hebben.
BAYC Discord eerder gecompromitteerd
Dit is niet de eerste keer dat de Discord-server is geweest aangetast. De server werd in april 2022 gehackt, waarbij MAYC #8662 werd gestolen. De verhaal vervolg zoals later bekend werd dat de Taiwanese popsuperster Jay Chou de eigenaar was van de gestolen NFT ter waarde van $550k. Bij beide gelegenheden werd een Discord-profiel gecompromitteerd, waardoor de aanval phishing-links op officiële kanalen kon plaatsen.
Bescherming van web2-infrastructuur gekoppeld aan web3
Er worden oplossingen vrijgegeven om het probleem van zwendelwebsites te bestrijden. De meeste grote antivirusprogramma's gebruiken bibliotheken van sites op de zwarte lijst om gebruikers te helpen bij het surfen op internet. De snelheid en frequentie van oplichting zorgen er echter voor dat deze tools niet altijd volledig up-to-date zijn. Een chrome-extensie genaamd Portemonnee bewaker probeert dit probleem op te lossen in de web3-ruimte.
Wallet Guard vertelde CryptoSlate:
"Niet iedereen heeft een technische achtergrond en is ook niet te lang in de ruimte geweest ... onze extensie raakt nooit je portemonnee, hij hoeft alleen het domein te kennen dat je probeert te bezoeken."
De tool markeerde de URL van de phishing-site die op het Discord-account van BorisVagner was gepost en had investeerders kunnen helpen beslissen of ze de link moesten vertrouwen.
Maar zelfs tools zoals deze zijn niet onkwetsbaar. Een geavanceerde oplichter zou in theorie een officiële Discord-server kunnen binnendringen en tegelijkertijd een site als Wallet Guard kunnen aanvallen om het een legitieme site te laten lijken." Er wordt echter niet verwacht dat een tool 100% onkwetsbaar is voor alle aanvallen. Elke manier waarop beleggers de kans kunnen verkleinen dat ze het slachtoffer worden van fraude, moet worden aangemoedigd.
Toch valt elke phishing-zwendel een blockchain-projectzwendel aan, het komt via een web2-verbinding met het blockchain-project. Het toevoegen van web3-functionaliteit aan web2-technologie zoals Discord zou de beveiliging ervan drastisch kunnen verhogen.
cryptoslat naar nam contact op met BorisVagner voor commentaar, maar ontving geen reactie.
Bron: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/