Web2 aplikacije kao što je Discord ponovo su se pokazale kao slaba karika u arsenalu blockchain projekata. Preko 175 ETH je izvučeno sa računa investitora nakon što je Bored Ape Yacht club Discord server razbijen. @BorisVagneru, koji je tek u januaru 2022. promovisan u društvene mreže za Yuga Labs, provaljen je njegov Discord nalog. Napadač je tada mogao da objavi phishing linkove preko BorisVagnerovog zvaničnog naloga na Yuga Labs Discord serveru.
Veza je redigovana kako bi se čitatelji zaštitili od posjete phishing stranici. BAYC je konačno objavio saopštenje 9 sati nakon što je prvi put objavljeno navodeći,
“Naši Discord serveri su danas nakratko eksploatisani. Tim je to uhvatio i brzo riješio. Čini se da je pogođeno oko 200 ETH NFT-ova. Još uvijek istražujemo, ali ako ste bili pogođeni, pošaljite nam e-poštu na [email zaštićen]"
U saopštenju se navodi da je tim "brzo riješio problem" i potvrdio ukupnu vrijednost koju su članovi izgubili kao 200 ETH. Po današnjoj vrijednosti, to je 354 dolara nestalo za skoro nimalo vremena. Nedostatak hitnosti u prijavljivanju stvari svojoj zajednici i kratkoća najave sugerišu element samozadovoljstva Yuga Labsa.
Račun upravitelja zajednice je kompromitovan.
Prema Peckshield, “32 NFT-a su ukradena, uključujući 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC” Kršenje je prvobitno prijavio OKHotshot, koji je tweeted, “@BorisVagneru je provaljen račun, što je omogućilo prevarantima da izvedu svoj phishing napad. Ukradeno je preko 145E in.” OKHotshot ekskluzivno nam je rekao da je oko 354 hiljade dolara.
„Za svaki projekat koji donosi milionske prihode treba se pridržavati odgovarajućih sigurnosnih praksi. Pogotovo ako je projekat u top 10 na tržištu. Neposedovanje menadžera bezbednosti značajno povećava taj rizik.”
OKHotshot vjeruje da je menadžer za sigurnost mogao spriječiti ovo jer bi „opravljali sigurnosne prakse u neskladu, timske politike i pobrinuli se da se one poštuju. Nijedan član tima ne bi trebao imati otvorene direktne poruke, klikati na linkove ili koristiti svoje glavne naloge na drugim serverima samo da dam nekoliko primjera.” Yuga Labs ima nekoliko radnih uloga dostupno, ali nema sigurnosnih uloga.
Reakcija zajednice
Kripto zajednica je također bila glasna o ovom problemu kroz nit koju je objavio korisnik Reddita u/naji102. Korisnici su raspravljali o padu povjerenja u NFT-ove zbog porasta prevara koje dolaze čak i iz zvaničnih izvora. u/XnoonefromnowhereX je prokomentarisao: “Poruka je imala gramatičke greške koje su trebale biti crvena zastavica”, dok je u/CrimsonFox99 empatično izjavio: “Teško ih je okriviti za taj dio, posebno iz navodnog pouzdanog izvora.”
Korisnik Twittera se obratio OpenSea i LooksRare moleći „Upravo sam kliknuo na lažnu tvrdnju o goblinu. Ukradeno je 2 MAYC-a i 8 cool mačaka. … molim vas pomozite. Ukrali su mi sve.” Pozivi su stizali od drugih korisnika koji podržavaju inicijativu za zamrzavanje računa lopova. Čini se da se često decentralizacija podržava samo dok investitorima nije potrebna centralizovana podrška.
BAYC Discord je kompromitovan ranije
Ovo nije prvi put da je Discord server kompromitovan. Server je hakovan u aprilu 2022, a MAYC #8662 je ukraden. The priča se nastavila kako se kasnije saznalo da je tajvanska pop zvijezda Jay Chou vlasnik ukradenog NFT-a vrijednog 550 hiljada dolara. Discord profil je kompromitovan u oba navrata, što je omogućilo napadu da postavi phishing linkove na službene kanale.
Zaštita web2 infrastrukture vezane za web3
Postoje rješenja koja se objavljuju kako bi se pokušalo suzbiti problem web stranica za prevare. Većina glavnih antivirusnih alata koristi biblioteke stranica sa crne liste da pomognu korisnicima u pretraživanju interneta. Međutim, brzina i učestalost prevara znače da ovi alati možda nisu uvijek potpuno ažurni. Chrome ekstenzija zove se Wallet Guard pokušava riješiti ovaj problem u web3 prostoru.
Wallet Guard je rekao za CryptoSlate:
“Nemaju svi tehničku pozadinu niti su bili predugo u prostoru… naša ekstenzija nikada ne dodiruje vaš novčanik, već samo treba znati domenu koju pokušavate posjetiti.”
Alat je označio URL stranice za krađu identiteta objavljenu na BorisVagnerovom Discord računu i mogao je pomoći investitorima da odluče da li trebaju vjerovati linku.
Međutim, čak ni alati poput ovog nisu neranjivi. Sofisticirani prevarant bi teoretski mogao ući na službeni Discord server, a istovremeno napasti web-lokaciju kao što je Wallet Guard kako bi izgledao kao legitimna stranica.” Međutim, ne očekuje se da će nijedan alat biti 100% neranjiv na sve napade. Bilo koji način na koji investitori mogu da smanje šanse da postanu žrtva prevare treba ohrabriti.
Ipak, svaka phishing prevara napada prevaru blockchain projekta i dolazi preko web2 veze s blockchain projektom. Dodavanje web3 funkcionalnosti web2 tehnologiji kao što je Discord moglo bi dramatično povećati njenu sigurnost.
CryptoSlate obratio se BorisVagneru za komentar, ali nije dobio odgovor.
Izvor: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/