Web2-applikasjoner som Discord har igjen vist seg å være det svake leddet i arsenalet av blokkjedeprosjekter. Over 175 ETH har blitt tappet fra investorenes kontoer etter at Bored Ape Yacht club Discord-serveren ble brutt. @BorisVagner, som først ble forfremmet til sosiale medier for Yuga Labs i januar 2022, fikk sin Discord-konto brutt. Angriperen kunne deretter legge ut phishing-lenker via BorisVagners offisielle konto på Yuga Labs Discord-server.
Linken har blitt redigert for å beskytte leserne fra å besøke phishing-siden. BAYC ga endelig ut en uttalelse 9 timer etter at den først ble rapportert sier,
"Discord-serverne våre ble kort utnyttet i dag. Teamet fanget opp og løste det raskt. Omtrent 200 ETH-verdier av NFT-er ser ut til å ha blitt påvirket. Vi undersøker fortsatt, men hvis du ble berørt, send oss en e-post på [e-postbeskyttet]"
Uttalelsen rapporterte at teamet "rettet det raskt" og bekreftet at den totale verdien tapt av medlemmene var 200 ETH. Med dagens verdi er $354k borte på nesten ingen tid i det hele tatt. Mangelen på at det haster med å rapportere saken til samfunnet og kortheten i kunngjøringen antyder et element av selvtilfredshet fra Yuga Labs.
Community Manager-kontoen er kompromittert.
Ifølge Peckshield, "32 NFT-er ble stjålet, inkludert 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" Bruddet ble først rapportert av OKHotshot, som twitret, “@BorisVagner fikk kontoen sin brutt, noe som lot svindlerne utføre phishing-angrepet sitt. Over 145E ble stjålet.» OKHotshot fortalte oss utelukkende at det er rundt $354k.
"Riktig sikkerhetspraksis bør opprettholdes for ethvert prosjekt som gir millioner i inntekter. Spesielt hvis prosjektet er på topp 10 i markedet. Å ikke ha en sikkerhetssjef øker denne risikoen betraktelig."
OKHotshot mener en sikkerhetssjef kunne ha forhindret dette, da "de ville håndtere uenighetspraksis for sikkerhet, teampolicy og sørge for at de blir opprettholdt. Ingen teammedlemmer bør ha sine direktemeldinger åpne, klikke på lenker eller bruke hovedkontoene sine på andre servere bare for å gi noen få eksempler." Yuga Labs har flere jobbroller tilgjengelig, men ingen sikkerhetsroller er aktive.
Samfunnsreaksjon
Kryptofellesskapet var også vokalt om problemet gjennom en tråd postet av Reddit-brukeren u/naji102. Brukere diskuterte fallet i tillit for NFT-er på grunn av økningen i svindel som til og med kommer fra offisielle kilder. u/XnoonefromnowhereX kommenterte: "Beskjeden hadde grammatiske feil som burde vært et rødt flagg," mens u/CrimsonFox99 empatisk uttalte: "Vanskelig å klandre dem på den delen, spesielt kommer fra en antatt pålitelig kilde."
En Twitter-bruker kontaktet OpenSea og LooksRare bedende «Jeg klikket nettopp på en falsk nissepåstand. 2 MAYC og 8 kule katter ble stjålet. ... vennligst hjelp. De stjal alt fra meg.» Det kom oppringninger fra andre brukere som støtter initiativet for å fryse tyvens kontoer. Det ser ut til at desentralisering ofte bare støttes inntil investorer trenger sentralisert støtte.
BAYC Discord kompromittert før
Dette er ikke første gang Discord-serveren har vært kompromittert. Serveren ble hacket i april 2022, og MAYC #8662 ble stjålet. De historien fortsatte som det senere ble kjent at den taiwanske pop-superstjernen Jay Chou var eieren av den stjålne NFT-en verdt $550k. En Discord-profil ble kompromittert ved begge anledninger, slik at angrepet kunne legge ut phishing-lenker på offisielle kanaler.
Beskyttelse av web2-infrastruktur knyttet til web3
Det er løsninger som blir utgitt for å forsøke å bekjempe problemet med svindelnettsteder. De fleste store antivirusverktøyene bruker biblioteker med svartelistede nettsteder for å hjelpe brukere med å surfe på internett. Hastigheten og hyppigheten av svindel gjør imidlertid at disse verktøyene kanskje ikke alltid er helt oppdatert. En chrome-utvidelse kalt Lommebokbeskytter forsøker å løse dette problemet i web3-området.
Wallet Guard fortalte CryptoSlate:
"Ikke alle har en teknisk bakgrunn og har heller ikke vært i området for lenge ... utvidelsen vår berører aldri lommeboken din, den trenger bare å kjenne domenet du prøver å besøke."
Verktøyet flagget URL-en til phishing-nettstedet som ble lagt ut på BorisVagners Discord-konto og kunne ha hjulpet investorer med å bestemme om de skulle stole på lenken.
Selv verktøy som dette er imidlertid ikke usårbare. En sofistikert svindler kan teoretisk sett komme inn på en offisiell Discord-server mens han også angriper et nettsted som Wallet Guard for å få det til å se ut som et lovlig nettsted. Ingen verktøy forventes imidlertid å være 100 % usårbare for alle angrep. Enhver måte investorer kan redusere sjansen for at de blir ofre for svindel, bør oppmuntres.
Likevel angriper hver phishing-svindel en svindel med blokkjedeprosjekter, den kommer gjennom en web2-forbindelse til blokkjedeprosjektet. Å legge til web3-funksjonalitet til web2-teknologi som Discord kan øke sikkerheten dramatisk.
CryptoSlate kontaktet BorisVagner for kommentar, men fikk ikke svar.
Kilde: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/