Web2-sovellukset, kuten Discord, on jälleen osoitettu heikoksi lenkkiksi lohkoketjuprojektien arsenaalissa. Yli 175 ETH:ta on tyhjennetty sijoittajien tileiltä Bored Ape Yacht clubin Discord-palvelimen murtumisen jälkeen. @BorisVagnerin, joka ylennettiin sosiaaliseen mediaan Yuga Labsissa vasta tammikuussa 2022, hänen Discord-tilinsä rikottiin. Hyökkääjä pystyi sitten lähettämään phishing-linkkejä BorisVagnerin virallisen tilin kautta Yuga Labs Discord -palvelimelle.
Linkki on muokattu lukijoiden suojelemiseksi vierailemasta tietojenkalastelusivustolla. BAYC julkaisi lopulta lausunnon yhdeksän tuntia sen ensimmäisen raportoinnin jälkeen toteamalla,
"Discord-palvelimiamme hyödynnettiin lyhyesti tänään. Ryhmä otti asian kiinni ja käsitteli sen nopeasti. Vaikuttaa siltä, että vaikutus on ollut noin 200 ETH:n arvosta NFT:tä. Tutkimme asiaa edelleen, mutta jos tämä vaikutti sinuun, lähetä meille sähköpostia osoitteeseen [sähköposti suojattu]"
Lausunnossa kerrottiin, että tiimi "käsitteli sen nopeasti" ja vahvisti jäsenten menettämän kokonaisarvon olevan 200 ETH. Tämän päivän arvolla se on 354 XNUMX dollaria mennyt melkein hetkessä. Kiireettömyys ilmoittaa asiasta yhteisölleen ja ilmoituksen lyhyys viittaavat Yuga Labsin tyytyväisyyteen.
Yhteisön ylläpitäjän tili vaarantunut.
Mukaan Suojakilpi, "32 NFT:tä varastettiin, joista 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" Rikkomuksesta ilmoitti alun perin OKHotshot, joka Tweeted, "@BorisVagner sai tilinsä murtautumaan, mikä antoi huijarit suorittaa tietojenkalasteluhyökkäyksensä. Yli 145E varastettiin." OKHotshot kertoi meille yksinomaan, että se on noin 354 XNUMX dollaria.
”Oikeaa turvallisuuskäytäntöä tulee noudattaa kaikissa miljoonien tuloja tuottavien hankkeiden yhteydessä. Varsinkin jos projekti on markkinoiden 10 parhaan joukossa. Turvapäällikön puuttuminen lisää tätä riskiä merkittävästi."
OKHotshot uskoo, että tietoturvapäällikkö olisi voinut estää tämän, koska "he olisivat käsitelleet ristiriitaisia turvallisuuskäytäntöjä, tiimikäytäntöjä ja varmistaneet, että niitä noudatetaan. Kenenkään tiimin jäsenen ei pitäisi avata suoria viestejään, klikata linkkejä tai käyttää päätiliään muilla palvelimilla vain muutaman esimerkin antamiseksi." Yuga Labsilla on useita työtehtäviä saatavilla, mutta turvarooleja ei ole käytössä.
Yhteisön reaktio
Kryptoyhteisö oli myös äänekäs ongelmasta Reddit-käyttäjän u/naji102:n julkaiseman säikeen kautta. Käyttäjät keskustelivat luottamuksen laskusta NFT:tä kohtaan, mikä johtui jopa virallisista lähteistä peräisin olevien huijausten lisääntymisestä. u/XnoonefromnowhereX kommentoi: "Viestissä oli kielioppivirheitä, joiden olisi pitänyt olla punainen lippu", kun taas u/CrimsonFox99 totesi empaattisesti: "Vaikea syyttää heitä siitä, varsinkin, että ne tulevat oletettavasti luotetusta lähteestä."
Twitter-käyttäjä otti yhteyttä OpenSeaan ja LooksRareen kirjelmän "Napsautin juuri väärennettyä goblin-vaatimusta. 2 MAYC ja 8 siistiä kissaa varastettiin. … Auttakaa. He varastivat minulta kaiken." Puhelut tulivat muilta käyttäjiltä, jotka tukivat varkaan tilien jäädyttämisaloitetta. Näyttää siltä, että usein hajauttamista tuetaan vain siihen asti, kunnes sijoittajat tarvitsevat keskitettyä tukea.
BAYC Discord vaarantui aiemmin
Tämä ei ole ensimmäinen kerta, kun Discord-palvelin on ollut vaarantunut. Palvelimeen hakkeroitiin huhtikuussa 2022, jolloin MAYC #8662 varastettiin. The tarina jatkui koska myöhemmin tuli tiedoksi, että taiwanilainen pop-supertähti Jay Chou oli 550 XNUMX dollarin arvoisen varastetun NFT:n omistaja. Discord-profiili vaarantui molemmilla kerroilla, jolloin hyökkäys pystyi lähettämään phishing-linkkejä virallisille kanaville.
Web2:een sidotun web3-infrastruktuurin suojaaminen
Ratkaisuja julkaistaan huijaussivustojen ongelman torjumiseksi. Useimmat tärkeimmät virustentorjuntatyökalut käyttävät mustalla listalla olevien sivustojen kirjastoja auttamaan käyttäjiä Internetin selaamisessa. Huijausten nopeus ja tiheys merkitsevät kuitenkin sitä, että nämä työkalut eivät välttämättä ole aina täysin ajan tasalla. Kromilaajennus kutsutaan Lompakon vartija yrittää ratkaista tämän ongelman web3-tilassa.
Wallet Guard kertoi CryptoSlatelle:
"Kaikilla ei ole teknistä taustaa, eivätkä he ole olleet tilassa liian kauan... laajennuksemme ei koskaan koske lompakkoosi, sen tarvitsee vain tietää verkkotunnus, jolla yrität käydä."
Työkalu merkitsi BorisVagnerin Discord-tilille lähetetyn tietojenkalastelusivuston URL-osoitteen ja olisi voinut auttaa sijoittajia päättämään, pitäisikö heidän luottaa linkkiin.
Edes tämänkaltaiset työkalut eivät kuitenkaan ole haavoittumattomia. Hienostunut huijari voisi teoriassa päästä viralliselle Discord-palvelimelle ja samalla hyökätä Wallet Guardin kaltaiseen sivustoon saadakseen sen näyttämään lailliselta sivustolta. Minkään työkalun ei kuitenkaan odoteta olevan 100-prosenttisesti haavoittumaton kaikille hyökkäyksille. Olisi kannustettava kaikkia tapoja, joilla sijoittajat voivat vähentää mahdollisuutta joutua petoksen uhriksi.
Silti jokainen phishing-huijaus hyökkää lohkoketjuprojektin huijaukseen, joka tulee web2-yhteyden kautta lohkoketjuprojektiin. Web3-toiminnallisuuden lisääminen web2-teknologiaan, kuten Discordiin, voi parantaa merkittävästi sen turvallisuutta.
CryptoSlate otti BorisVagnerilta kommentin, mutta ei saanut vastausta.
Lähde: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/