Web2 aplikacije kao što je Discord ponovno su se pokazale kao slaba karika u arsenalu blockchain projekata. Više od 175 ETH izvučeno je s računa ulagača nakon što je provaljen server Bored Ape Yacht club Discord. @BorisVagneru, koji je tek u siječnju 2022. promoviran u društvene mreže za Yuga Labs, provaljen je njegov Discord račun. Napadač je tada mogao objaviti phishing veze putem BorisVagnerovog službenog računa na Yuga Labs Discord serveru.
Veza je redigirana kako bi se čitatelji zaštitili od posjete web-mjestu za krađu identiteta. BAYC je konačno objavio priopćenje 9 sati nakon što je prvi put objavljeno navodi,
“Naši Discord poslužitelji danas su nakratko eksploatirani. Ekipa je to brzo uhvatila i riješila. Čini se da je pogođeno oko 200 ETH NFT-ova. Još uvijek istražujemo, ali ako ste bili pogođeni, pošaljite nam e-poštu na [e-pošta zaštićena]"
U izjavi se navodi da je tim "brzo riješio problem" i potvrdio ukupnu vrijednost koju su članovi izgubili kao 200 ETH. Po današnjoj vrijednosti koja iznosi 354 dolara nestalo je gotovo u kratkom vremenu. Nedostatak hitnosti u izvještavanju o tom pitanju svojoj zajednici i kratkoća najave sugeriraju element samozadovoljstva Yuga Labsa.
Račun upravitelja zajednice je ugrožen.
Prema Peckshield, “32 NFT-a su ukradena, uključujući 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC” Kršenje je prvobitno prijavio OKHotshot, koji Tweetano, “@BorisVagneru je provaljen račun, što je omogućilo prevarantima da izvedu svoj phishing napad. Ukradeno je preko 145E in. OKHothot ekskluzivno nam je rekao da je to oko 354 tisuća dolara.
“Za svaki projekt koji donosi milijunske prihode treba se pridržavati odgovarajućih sigurnosnih praksi. Pogotovo ako je projekt u top 10 na tržištu. Nepostojanje upravitelja sigurnosti značajno povećava taj rizik.”
OKHotshot vjeruje da je voditelj sigurnosti mogao spriječiti ovo jer bi “oni rješavali neskladne sigurnosne prakse, timsku politiku i pazili da se one poštuju. Nijedan član tima ne bi trebao imati otvorene izravne poruke, klikati na veze ili koristiti svoje glavne račune na drugim poslužiteljima samo da dam nekoliko primjera.” Yuga Labs ima nekoliko radnih uloga dostupno, ali nema aktivnih sigurnosnih uloga.
Reakcija zajednice
Kripto zajednica je također bila glasna o ovom problemu kroz nit koju je objavio korisnik Reddita u/naji102. Korisnici su raspravljali o padu povjerenja u NFT-ove zbog porasta prijevara koje dolaze čak i iz službenih izvora. u/XnoonefromnowhereX je komentirao: “Poruka je imala gramatičke pogreške koje su trebale biti crvena zastavica”, dok je u/CrimsonFox99 suosjećajno izjavio: “Teško ih je okriviti za taj dio, pogotovo što dolazi iz navodno pouzdanog izvora.”
Korisnik Twittera obratio se na OpenSea i LooksRare moleći “Upravo sam kliknuo na lažnu tvrdnju o goblinu. Ukradena su 2 MAYC-a i 8 cool mačaka. … molim pomoć. Ukrali su mi sve.” Pozivi su stizali od drugih korisnika koji podržavaju inicijativu za zamrzavanje računa lopova. Čini se da se decentralizacija često podržava samo dok investitori ne trebaju centraliziranu podršku.
BAYC Discord je prije bio ugrožen
Ovo nije prvi put da je Discord poslužitelj ugrožena. Server je hakiran u travnju 2022., a MAYC #8662 je ukraden. The priča se nastavila kako se kasnije doznalo da je tajvanska pop zvijezda Jay Chou vlasnik ukradenog NFT-a vrijednog 550 tisuća dolara. Discord profil je kompromitiran u oba navrata, što je napadu omogućilo postavljanje veza za krađu identiteta na službene kanale.
Zaštita web2 infrastrukture povezane s web3
Postoje rješenja koja se objavljuju za pokušaj borbe s problemom web-mjesta za prijevaru. Većina glavnih antivirusnih alata koristi knjižnice web-mjesta s crne liste za pomoć korisnicima u pregledavanju interneta. Međutim, brzina i učestalost prijevara znače da ti alati možda nisu uvijek potpuno ažurni. Chrome proširenje tzv Zaštita novčanika pokušava riješiti ovaj problem u web3 prostoru.
Wallet Guard je rekao za CryptoSlate:
"Nemaju svi tehničku pozadinu niti su bili predugo u prostoru... naše proširenje nikada ne dotiče vaš novčanik, samo treba znati domenu koju pokušavate posjetiti."
Alat je označio URL stranice za krađu identiteta objavljenu na BorisVagnerovom Discord računu i mogao je pomoći ulagačima u odluci trebaju li vjerovati vezi.
Međutim, čak ni alati poput ovog nisu neranjivi. Sofisticirani prevarant bi teoretski mogao ući na službeni Discord poslužitelj, a pritom napasti web-mjesto kao što je Wallet Guard kako bi izgledalo kao legitimno. Međutim, ne očekuje se da će nijedan alat biti 100% neranjiv na sve napade. Trebalo bi poticati svaki način na koji ulagači mogu smanjiti mogućnost da postanu žrtve prijevare.
Ipak, svaka phishing prijevara napada prijevaru blockchain projekta i dolazi putem web2 veze s blockchain projektom. Dodavanje web3 funkcionalnosti web2 tehnologiji kao što je Discord moglo bi dramatično povećati njezinu sigurnost.
CryptoSlate obratio se BorisVagneru za komentar, ali nije dobio odgovor.
Izvor: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/