Ang mga Web2 application tulad ng Discord ay muling ipinakita na ang mahinang link sa arsenal ng mga proyekto ng blockchain. Higit sa 175 ETH ang na-drain mula sa mga account ng mga mamumuhunan pagkatapos masira ang server ng Discord ng Bored Ape Yacht club. Si @BorisVagner, na na-promote lamang sa Social Media para sa Yuga Labs noong Enero 2022, ay nasira ang kanyang Discord account. Ang umaatake ay nakapag-post noon ng mga link sa phishing sa pamamagitan ng opisyal na account ng BorisVagner sa server ng Yuga Labs Discord.
Ang link ay na-redacted upang protektahan ang mga mambabasa mula sa pagbisita sa phishing site. Sa wakas ay naglabas ng pahayag ang BAYC 9 na oras matapos itong unang maiulat na nagsasabi,
"Ang aming mga server ng Discord ay panandaliang pinagsamantalahan ngayon. Nahuli ito ng team at mabilis itong natugunan. Lumilitaw na naapektuhan ang humigit-kumulang 200 ETH na halaga ng mga NFT. Nag-iimbestiga pa kami, ngunit kung naapektuhan ka, mag-email sa amin sa [protektado ng email]"
Ang pahayag ay nag-ulat na ang koponan ay "natugunan ito nang mabilis" at nakumpirma ang kabuuang halaga na nawala ng mga miyembro bilang 200 ETH. Sa halaga ngayon na $354k nawala sa halos walang oras sa lahat. Ang kakulangan ng pagkaapurahan sa pag-uulat ng usapin sa komunidad nito at ang kaiklian ng anunsyo ay nagmumungkahi ng elemento ng kasiyahan ng Yuga Labs.
Nakompromiso ang Community Manager account.
Ayon sa Peckshield, “32 NFT ang ninakaw, kabilang ang 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC” Ang paglabag ay unang iniulat ni OKhotshot, na tweeted, “Nasira ni @BorisVagner ang kanyang account, na nagbigay-daan sa mga scammer na isagawa ang kanilang pag-atake sa phishing. Higit sa 145E in ang ninakaw.” OKhotshot eksklusibong sinabi sa amin na ito ay nasa $354k.
“Dapat na itaguyod ang wastong mga kasanayan sa seguridad para sa anumang proyektong kumikita ng milyun-milyong kita. Lalo na kung ang proyekto ay nasa nangungunang 10 ng merkado. Ang hindi pagkakaroon ng isang tagapamahala ng seguridad ay nagdaragdag nang malaki sa panganib na iyon."
Naniniwala ang OKHotshot na mapipigilan ito ng isang tagapamahala ng seguridad dahil "hahawakan nila ang mga kagawian sa seguridad ng hindi pagkakaunawaan, patakaran ng koponan, at siguraduhing masusunod ang mga ito. Walang miyembro ng team ang dapat magbukas ng kanilang mga direktang mensahe, mag-click sa mga link o gumamit ng kanilang mga pangunahing account sa iba pang mga server para lamang magbigay ng ilang mga halimbawa." Mayroon ang Yuga Labs ilang mga tungkulin sa trabaho available, ngunit walang mga tungkulin sa seguridad ang live.
Reaksyon ng pamayanan
Ang komunidad ng crypto ay malakas din tungkol sa isyu sa pamamagitan ng isang thread na nai-post ng user ng Reddit na si u/naji102. Tinalakay ng mga user ang pagbaba ng tiwala para sa mga NFT dahil sa pagdami ng mga scam na nagmumula pa sa mga opisyal na mapagkukunan. Nagkomento si u/XnoonefromnowhereX, "Ang mensahe ay may mga grammatical error na dapat ay isang pulang bandila," habang ang u/CrimsonFox99 ay may empatiya na sinabi, "Mahirap sisihin sila sa bahaging iyon, lalo na mula sa isang pinagkakatiwalaang pinagmulan."
Isang user ng Twitter ang nakipag-ugnayan sa OpenSea at LooksRare pakiusap “Nag-click lang ako ng pekeng goblin claim. 2 MAYC at 8 cool na pusa ang ninakaw. … Tulong po. Ninakaw nila ang lahat sa akin." Ang mga tawag ay nagmula sa ibang mga user na sumusuporta sa inisyatiba upang i-freeze ang mga account ng magnanakaw. Tila kadalasan ang desentralisasyon ay sinusuportahan lamang hanggang sa kailangan ng mga mamumuhunan ang sentralisadong suporta.
Nakompromiso ang BAYC Discord dati
Hindi ito ang unang pagkakataon na naging ang Discord server nakompromiso. Na-hack ang server noong Abril 2022, kung saan ninakaw ang MAYC #8662. Ang nagpatuloy ang kwento dahil sa kalaunan ay nalaman na ang Taiwanese pop superstar na si Jay Chou ang may-ari ng ninakaw na NFT na nagkakahalaga ng $550k. Nakompromiso ang isang profile ng Discord sa parehong pagkakataon, na nagpapahintulot sa pag-atake na mag-post ng mga link ng phishing sa mga opisyal na channel.
Pagprotekta sa imprastraktura ng web2 na nakatali sa web3
May mga solusyon na inilalabas upang subukang labanan ang problema ng mga website ng scam. Karamihan sa mga pangunahing tool ng antivirus ay gumagamit ng mga aklatan ng mga naka-blacklist na site upang tulungan ang mga user sa pagba-browse sa internet. Gayunpaman, ang bilis at dalas ng mga scam ay nangangahulugan na ang mga tool na ito ay maaaring hindi palaging ganap na napapanahon. Tinatawag na extension ng chrome Bantay ng Wallet sinusubukang lutasin ang problemang ito sa espasyo ng web3.
Sinabi ng Wallet Guard sa CryptoSlate:
"Hindi lahat ay may teknikal na background at hindi masyadong matagal... hindi naaabot ng aming extension ang iyong wallet kailangan lang nitong malaman ang domain na sinusubukan mong bisitahin."
Na-flag ng tool ang URL ng phishing site na na-post sa Discord account ng BorisVagner at maaaring tumulong sa mga mamumuhunan sa pagpapasya kung dapat nilang pagkatiwalaan ang link.
Gayunpaman, kahit na ang mga tool na tulad nito ay hindi masusugatan. Ang isang sopistikadong scammer ay maaaring makapasok sa isang opisyal na server ng Discord habang inaatake din ang isang site tulad ng Wallet Guard upang ipakita na ito ay isang legit na site. Gayunpaman, walang tool ang inaasahang 100% na hindi maaapektuhan sa lahat ng pag-atake. Anumang paraan upang mabawasan ng mga mamumuhunan ang pagkakataong sila ay mabiktima ng pandaraya ay dapat hikayatin.
Gayunpaman, ang bawat phishing scam ay umaatake sa isang blockchain project scam na nagmumula ito sa pamamagitan ng isang web2 na koneksyon sa blockchain project. Ang pagdaragdag ng paggana ng web3 sa teknolohiya ng web2 gaya ng Discord ay maaaring tumaas nang husto ang seguridad nito.
CryptoSlate nakipag-ugnayan kay BorisVagner para sa komento ngunit hindi nakatanggap ng tugon.
Pinagmulan: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/