Tech

Ang CertiK ay nagbabahagi ng mga tip sa seguridad kasunod ng ikatlong kompromiso sa seguridad ng BAYC sa loob ng anim na buwan

06/06/2022
Balita ng Ethereum ng Bitcoin

Noong Hunyo 4, ang sikat na nonfungible token, o NFT, na proyektong Bored Ape Yacht Club (BAYC) ay dumanas ng ikatlong kompromiso sa seguridad nitong taon. Halos 142 Ether (ETH) ($250,000) na halaga ng mga NFT ay ninakaw matapos magkaroon ng access ang mga hacker ang Discord account ng isang BAYC community manager at nag-post ng mensahe na may link sa isang pekeng website.

Ang link ay nag-advertise ng limitadong oras na libreng-NFT na giveaway sa mga user na nagkonekta sa kanilang mga wallet, na pagkatapos ay naubos ng mga NFT. Sa dalawang naunang okasyon noong Abril, nilabag ng mga hacker ang mga pahina ng Discord at Instagram ng BAYC at nagawang maka-siphon ng 91 NFT, na nagkakahalaga ng mahigit $1.3 milyon sa oras ng ikalawang pagtatangka, sa pamamagitan ng isang link sa phishing. 

As Sinabi sa pamamagitan ng blockchain security firm na CertiK, mabilis na inilipat ng mga hacker ang mga ninakaw na pondo sa obfuscation platform na Tornado Cash, na ginagawang imposibleng masubaybayan ang anumang karagdagang daloy ng mga pondo sa blockchain. Sa isang pahayag sa Cointelegraph, ipinaliwanag ng mga source sa CertiK na gayunpaman ang pagiging lehitimo ng proyekto ay maaaring mukhang, "Ang mga may hawak ng NFT ay dapat ding maging lubhang kahina-hinala sa sinumang nagsasabing nag-aalok ng mga libreng asset, dahil ang mga ito ay kadalasang mga pag-atake ng phishing." Bilang karagdagan, isinulat ni CertiK:

"Sa kaso ng pag-atake noong Hunyo 4, ang nakakahamak na carbon-copy site ay may ilang maliliit na pagkakaiba. Una, walang mga link sa mga social media site sa phishing site. Mayroon ding idinagdag na tab na pinamagatang "claim ng libreng lupa" at partikular na naka-target sa mga sikat na proyekto ng NFT."

Bilang pag-iingat, inirerekomenda ng Certik ang mga mahilig sa crypto na maghanap ng mga banayad na kakaiba sa mga naturang site, dahil madalas silang isang tagapagpahiwatig ng malisyosong aktibidad. "Sa pinakakaunti, ang mga gumagamit na nakikipag-ugnayan sa gayong mga giveaway ay dapat palaging magsikap na kumpirmahin ang pagiging lehitimo ng site sa pamamagitan ng paghahambing nito sa isang kilala at nakumpirma na site at naghahanap ng anumang mga pagkakaiba," pagtatapos nila.