Додатки Web2, такі як Discord, знову виявилися слабкою ланкою в арсеналі блокчейн-проектів. Понад 175 ETH було знято з рахунків інвесторів після злому сервера Discord Yacht Club Bored Ape. @BorisVagner, який був підвищений у соціальних мережах для Yuga Labs лише у січні 2022 року, зламали його обліковий запис Discord. Потім зловмисник зміг опублікувати фішингові посилання через офіційний обліковий запис BorisVagner на сервері Yuga Labs Discord.
Посилання було відредаговано, щоб захистити читачів від відвідування фішингового сайту. BAYC нарешті оприлюднив заяву через 9 годин після того, як про неї було повідомлено заявляючи,
«Наші сервери Discord сьогодні ненадовго експлуатувалися. Команда швидко зловила це та вирішила. Схоже, постраждали NFT на суму близько 200 ETH. Ми все ще ведемо розслідування, але якщо на вас це вплинуло, напишіть нам за адресою [захищено електронною поштою]"
У заяві повідомляється, що команда «швидко вирішила проблему» і підтвердила, що загальна вартість, втрачена учасниками, становить 200 ETH. За сьогоднішньої вартості, яка становить 354 тис. доларів, майже миттєво. Відсутність термінового повідомлення про це перед спільнотою та стислість оголошення свідчить про елемент самовдоволення Yuga Labs.
Обліковий запис менеджера спільноти зламано.
За оцінками Пекщит, «32 NFT було вкрадено, у тому числі 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC» Спочатку про порушення повідомив OKHotshot, який твір, «У @BorisVagner зламали його обліковий запис, що дозволило шахраям здійснити фішингову атаку. Було вкрадено понад 145 євро». Гаразд розповів нам ексклюзивно, що це близько 354 тисяч доларів.
«Для будь-якого проекту, який приносить мільйонні доходи, слід дотримуватися належних методів безпеки. Особливо, якщо проект входить в ТОП-10 ринку. Відсутність менеджера з безпеки значно збільшує цей ризик».
OKHotshot вважає, що менеджер із безпеки міг би запобігти цьому, оскільки «вони б обробляли методи безпеки розбіжностей, політику команди та переконалися, що вони дотримуються. Жоден член команди не повинен відкривати свої прямі повідомлення, натискати посилання або використовувати свої основні облікові записи на інших серверах лише для наведення кількох прикладів». Yuga Labs є кілька посадових ролей доступні, але ролі безпеки не діють.
Реакція громади
Крипто-спільнота також висловилася про цю проблему через ланцюжок, опублікований користувачем Reddit u/naji102. Користувачі обговорювали падіння довіри до NFT через збільшення кількості шахрайств, які надходять навіть з офіційних джерел. u/XnoonefromnowhereX прокоментував: «У повідомленні були граматичні помилки, які мали бути ознакою червоного прапорця», тоді як u/CrimsonFox99 співчутливо заявив: «Важко звинувачувати їх у цьому, особливо з імовірного надійного джерела».
Користувач Twitter звернувся до OpenSea і LooksRare благаючи «Я щойно натиснув фальшиву заяву про гобліна. Вкрали 2 MAYC і 8 крутих котів. … будь ласка, допоможіть. У мене все вкрали». Дзвінки надходили від інших користувачів, які підтримують ініціативу щодо заморожування рахунків злодія. Здається, що часто децентралізація підтримується лише до тих пір, поки інвестори не потребують централізованої підтримки.
BAYC Discord був скомпрометований раніше
Сервер Discord працює не вперше скомпрометований. Сервер було зламано в квітні 2022 року, вкравши MAYC #8662. The історія продовжилася як пізніше стало відомо, що власником викраденого NFT вартістю 550 тисяч доларів був тайванська поп-суперзірка Джей Чоу. Профіль Discord був скомпрометований в обох випадках, що дозволило атаці розміщувати фішингові посилання на офіційних каналах.
Захист інфраструктури web2, пов’язаної з web3
Випускаються рішення для боротьби з проблемою шахрайських веб-сайтів. Більшість основних антивірусних інструментів використовують бібліотеки сайтів із чорного списку, щоб допомогти користувачам переглядати Інтернет. Однак швидкість і частота шахрайства означають, що ці інструменти не завжди можуть бути повністю оновленими. Розширення Chrome називається Охоронець гаманця намагається вирішити цю проблему в просторі web3.
Wallet Guard сказав CryptoSlate:
«Не всі мають технічну освіту та не працюють надто довго… наше розширення ніколи не торкається вашого гаманця, йому потрібно лише знати домен, який ви намагаєтесь відвідати».
Інструмент позначив URL-адресу фішингового сайту, опублікованого в обліковому записі BorisVagner в Discord, і міг би допомогти інвесторам вирішити, чи варто їм довіряти цьому посиланню.
Однак навіть такі інструменти не є невразливими. Витончений шахрай теоретично може потрапити на офіційний сервер Discord, а також атакувати такий сайт, як Wallet Guard, щоб зробити його легальним». Однак очікується, що жоден інструмент не буде на 100% невразливим до всіх атак. Слід заохочувати будь-який спосіб, яким інвестори можуть зменшити ймовірність стати жертвою шахрайства.
Тим не менш, кожна фішингова афера атакує шахрайство з блокчейн-проектом, яке надходить через з’єднання web2 з проектом блокчейн. Додавання функцій web3 до технології web2, як-от Discord, може значно підвищити її безпеку.
CryptoSlate звернувся до Бориса Вагнера за коментарем, але відповіді не отримав.
Джерело: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/