Web2 rakendused nagu Discord on taas osutunud plokiahela projektide arsenali nõrgaks lüliks. Pärast Bored Ape jahtklubi Discord serveri rikkumist on investorite kontodelt tühjendatud üle 175 ETH. @BorisVagneri, kes edutati Yuga Labsi sotsiaalmeediasse alles 2022. aasta jaanuaris, rikuti tema Discordi kontot. Seejärel suutis ründaja postitada andmepüügilinke BorisVagneri ametliku konto kaudu Yuga Labs Discordi serveris.
Link on redigeeritud, et kaitsta lugejaid andmepüügisaidi külastamise eest. BAYC avaldas lõpuks avalduse 9 tundi pärast esimest teatamist märkides,
"Meie Discordi servereid kasutati täna korraks ära. Meeskond püüdis selle kiiresti kinni ja käsitles seda. Näib, et mõju on saanud umbes 200 ETH väärtuses NFT-sid. Uurime endiselt, kuid kui teid see mõjutas, saatke meile e-kiri aadressil [meiliga kaitstud]"
Avalduses teatati, et meeskond käsitles seda kiiresti ja kinnitas, et liikmete kaotatud koguväärtus on 200 ETH. Tänase väärtuse juures on see 354 XNUMX dollarit peaaegu hetkega kadunud. Kiireloomulisus asjast kogukonnale teatamisel ja teate lühidus viitab Yuga Labsi rahulolule.
Kogukonna halduri konto on ohustatud.
Järgi Peckhield, "varastati 32 NFT-d, sealhulgas 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" Rikkumisest teatas algselt OKHotshot, kes tweeted, "@BorisVagner sai oma kontole sissemurdmise, mis võimaldas petturitel andmepüügirünnakut sooritada. Varastati üle 145E. OKHotshot ütles meile ainult, et see on umbes 354 XNUMX dollarit.
„Iga miljoneid tulu teeniva projekti puhul tuleks järgida õigeid turvatavasid. Eriti kui projekt on turu top 10 hulgas. Turvajuhi puudumine suurendab seda riski märkimisväärselt.
OKHotshot usub, et turvajuht oleks võinud seda ära hoida, kuna "nad tegelevad lahkarvamustega turvatavade, meeskonnapoliitikaga ja veenduvad, et neid järgitakse. Ükski meeskonnaliige ei tohiks oma otsesõnumeid avada, linke klõpsata ega teistes serverites oma põhikontot kasutada, et tuua vaid paar näidet. Yuga Labsil on mitu töörolli saadaval, kuid turberollid pole reaalajas.
Kogukonna reaktsioon
Krüptokogukond rääkis probleemist ka Redditi kasutaja u/naji102 postitatud lõime kaudu. Kasutajad arutasid NFT-de usalduse langust, mis on tingitud isegi ametlikest allikatest pärit pettuste arvu suurenemise tõttu. u/XnoonefromnowhereX kommenteeris: "Sõnumis oli grammatilisi vigu, mis oleks pidanud olema punase lipuga," samas kui u/CrimsonFox99 märkis empaatiliselt: "Raske neid selles osas süüdistada, eriti kui need pärinevad väidetavalt usaldusväärsest allikast."
Twitteri kasutaja võttis ühendust OpenSea ja LooksRare'iga palumine "Klõpsasin just võltsitud goblini väitel. Varastati 2 MAYC ja 8 lahedat kassi. … Palun aidake. Nad varastasid minult kõik." Helistasid teised kasutajad, kes toetasid varga kontode külmutamise algatust. Tundub, et sageli toetatakse detsentraliseerimist vaid seni, kuni investorid vajavad tsentraliseeritud tuge.
BAYC Discord ohustati varem
See pole esimene kord, kui Discordi server on ohustatud. Serverisse häkiti 2022. aasta aprillis, varastati MAYC #8662. The lugu jätkus kuna hiljem sai teatavaks, et Taiwani pop-superstaar Jay Chou oli 550 XNUMX dollari väärtuses varastatud NFT omanik. Discordi profiil oli mõlemal korral ohustatud, võimaldades rünnakul postitada andmepüügilinke ametlikele kanalitele.
Web2-ga seotud web3 infrastruktuuri kaitsmine
Avaldatakse lahendusi, et püüda võidelda kelmuse veebisaitide probleemiga. Enamik suuremaid viirusetõrjetööriistu kasutab musta nimekirja kantud saitide teeke, et aidata kasutajatel Internetis sirvida. Kuid pettuste kiirus ja sagedus tähendavad, et need tööriistad ei pruugi alati olla täiesti ajakohased. Kutsutakse kroomi laiendust Rahakoti valvur püüab seda probleemi web3 ruumis lahendada.
Wallet Guard ütles CryptoSlate'ile:
"Kõigil pole tehnilist tausta ega ole liiga kaua ruumis olnud... meie laiendus ei puuduta kunagi teie rahakotti, vaid peab teadma domeeni, mida proovite külastada."
Tööriist tähistas BorisVagneri Discordi kontole postitatud andmepüügisaidi URL-i ja oleks võinud aidata investoritel otsustada, kas nad peaksid linki usaldama.
Kuid isegi sellised tööriistad ei ole haavamatud. Kogenud pettur võib teoreetiliselt sattuda ametlikku Discordi serverisse, rünnates samal ajal saiti nagu Wallet Guard, et muuta see legaalseks saidiks. Siiski ei eeldata, et ükski tööriist oleks 100% kõigi rünnakute suhtes haavamatu. Tuleks julgustada kõiki võimalusi, kuidas investorid saavad vähendada pettuse ohvriks langemise võimalust.
Siiski ründab iga andmepüügipettus plokiahela projekti pettust, mis tuleb läbi web2 ühenduse plokiahela projektiga. Web3 funktsionaalsuse lisamine web2 tehnoloogiale, nagu Discord, võib selle turvalisust märkimisväärselt suurendada.
Krüptoslaat võttis kommentaari saamiseks ühendust BorisVagneriga, kuid ei saanud vastust.
Allikas: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/