Key Takeaways
- Discord serveri Bored Ape Yacht Cluba i nekoliko drugih NFT kolekcija kompromitovani su u petak ujutro.
- Haker je iskoristio ažuriranje široko rasprostranjenog bota Ticket Tool za postavljanje lažnih linkova za kovanje.
- Haker je ukrao najmanje četiri NFT-a iz kolekcija Bored Ape, Mutant Ape i Doodles.
Podijelite ovaj članak
Nekoliko Discord servera, uključujući server Bored Ape Yacht Cluba, je kompromitirano. Čini se da su hakeri iskoristili nedavno ažuriranje Discord bota za Ticket Tool za postavljanje phishing linkova na više servera.
NFTs izgubljeni kroz Discord Hack
Kršenje sigurnosti povezano s Discordom dovelo je do krađe NFT-ova visoke vrijednosti.
Discord serveri Bored Ape Yacht Cluba, Doodles i nekoliko drugih istaknutih NFT kolekcija kompromitovani su u petak rano ujutro, ostavljajući NFT zajednicu u šoku.
Poruka se pojavila na serveru Bored Ape u 6:19 UTC u kojoj se korisnici obavještavaju o novoj kolekciji “Kinološki klub mutantskih majmuna” i postavljaju lažni link za kovanje. Nesuđeni korisnici koji su kliknuli na link potpisali su transakcije koje su hakeru dale pravo da prenese svoje NFT-ove iz njihovih novčanika. Uprkos nesretnom vremenu, ovo nije bila prvoaprilska šala – haker je uspio pronaći eksploataciju u popularnom Discord botu za infiltriranje servera i postavljanje linkova na ograničenim kanalima bez dozvole administratora servera.
Haker takođe objavljeno slična poruka na Doodles Discord serveru, koja obavještava korisnike o novom "genesis mint" s ograničenom količinom. Kao i link za post Bored Ape Discord, koji je koristio onaj ko je kliknuo na nju i pokušao da iskova, haker bi prebacio NFT-ove iz svog novčanika.
Službeni nalog Bored Ape Yacht Cluba na Twitteru brzo informisani sljedbenici napada. “Webhook u našem Discordu je nakratko kompromitovan. Odmah smo ga uhvatili, ali imajte na umu: ne radimo nikakve prvoaprilske stealth mintove / airdropove itd.“, stoji u objavi.
NFT entuzijasta i suosnivač DAPE-a SerpentAU prvobitno je objavio na Twitteru da su kompromitovani serveri nastali zbog hakovanja vlasnika široko korišćenog Discord Captcha bota, pozivajući se na "insajderske informacije" dobijene od jednog od hakera. Međutim, oni su kasnije potvrđeno da je eksploatacija sa drugim Discord botom, zvanim Ticket Tool, omogućila hakerima da se infiltriraju na servere koristeći ga. Kao odgovor na SerpentAU-ov post, zvanični Ticket Tool Twitter nalog navedeno da je ažuriranje koje je izazvalo eksploataciju od tada vraćeno.
Prema blockchain sigurnosnoj firmi PeckShield, najmanje jedan Bored Ape, jedan Mutant Ape i dva Doodles NFT-a su ukradene od strane hakera. Transakcija podaci pokazuje da je haker od tada prodao ili prenio sva četiri NFT-a.
Današnji incident nije prvi put da kolekcionari gube NFT-ove i kriptovalute zbog kompromitovanih Discord servera. U februaru su članovi Doodles Discord servera postali žrtve phishing linkova kada je hakovan serverski bot, što je rezultiralo da je nekoliko članova izgubilo svoje Doodles NFT-ove.
Međutim, krađe visokovrijednih nezamjenjivih stvari nisu ograničene na Discord. Takođe u februaru, a phishing email prevara poslato korisnicima OpenSea-a rezultiralo je ukradom NFT-ova u vrijednosti od preko 3 miliona dolara iz kolekcija kao što su Bored Ape Yacht Club, Doodles i Azuki.
Kako NFT-ovi rastu u vrijednosti, njihovi vlasnici će vjerovatno i dalje biti na meti prevara. Oni koji rade na Discord serverima će morati da preduzmu dodatne mere predostrožnosti da zaštite svoje zajednice od daljih napada.
Otkrivanje: U vrijeme pisanja ovog djela, autor je posjedovao ETH i nekoliko drugih kriptovaluta.
Podijelite ovaj članak
OpenSea NFT Hack izlaže Web3 riziku samoodržavanja
Haker je ukrao stotine NFT-ova visoke vrijednosti iz traženih kolekcija kao što su Bored Ape Yacht Club, Azuki i NFT Worlds. Korisnici OpenSea ciljani u NFT haku Haker je ukrao milione…