A web2-es alkalmazások, mint például a Discord, ismét bebizonyosodott, hogy a gyenge láncszem a blokklánc-projektek arzenáljában. Több mint 175 ETH-t vontak ki a befektetők számláiról, miután a Bored Ape Yacht club Discord szerverét feltörték. @BorisVagner, aki csak 2022 januárjában került a közösségi médiába a Yuga Labs számára, feltörték Discord-fiókját. A támadó ezután adathalász linkeket tudott közzétenni BorisVagner hivatalos fiókján keresztül a Yuga Labs Discord szerverén.
A linket leszerkesztettük, hogy megóvjuk az olvasókat az adathalász oldal felkeresésétől. A BAYC végül 9 órával az első bejelentés után kiadott egy nyilatkozatot megállapítva
„A Discord szervereinket ma rövid időre kihasználták. A csapat gyorsan elkapta és kezelte. Úgy tűnik, hogy körülbelül 200 ETH értékű NFT-t érintettek. Még mindig nyomozunk, de ha ez érintett, írjon nekünk a discord@yugalabs.io címre.”
A nyilatkozat arról számolt be, hogy a csapat „gyorsan foglalkozott vele”, és megerősítette, hogy a tagok által elvesztett összérték 200 ETH. A mai értéken ez 354 XNUMX dollár szinte pillanatok alatt elment. Az a tény, hogy nem sürgősen jelentették az ügyet a közösségnek, és a bejelentés rövidsége a Yuga Labs önelégültségére utal.
A Community Manager-fiók feltört.
Szerint Peckshield, „32 NFT-t loptak el, köztük 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" A jogsértést eredetileg az OKHotshot jelentette, aki Twitteren, „@BorisVagner fiókját feltörték, ami lehetővé tette, hogy a csalók végrehajtsák adathalász támadásukat. Több mint 145E-t loptak el.” OKHotshot kizárólag azt mondta nekünk, hogy körülbelül 354 ezer dollár.
„A megfelelő biztonsági gyakorlatot be kell tartani minden olyan projektnél, amely milliós bevételt termel. Főleg, ha a projekt a piac top 10-ében van. A biztonsági vezető hiánya jelentősen megnöveli ezt a kockázatot.”
Az OKHotshot úgy véli, hogy egy biztonsági vezető megakadályozhatta volna ezt, mivel „kezelik az ellentmondásos biztonsági gyakorlatokat, a csapatpolitikát, és gondoskodnak azok betartásáról. Egyetlen csapattag sem nyithatja meg a közvetlen üzeneteit, nem kattinthat hivatkozásokra vagy használhatja fő fiókját más szervereken, csak hogy néhány példát említsünk.” A Yuga Labs rendelkezik több munkakör elérhető, de nincsenek élő biztonsági szerepkörök.
Közösségi reakció
A kriptográfiai közösség is hangot adott a problémának a Reddit u/naji102 felhasználó által közzétett szálon keresztül. A felhasználók megvitatták az NFT-k iránti bizalom csökkenését a hivatalos forrásokból származó csalások növekedése miatt. Az u/XnoonefromnowhereX megjegyezte: „Az üzenet nyelvtani hibákat tartalmazott, amelyeknek piros zászlónak kellett volna lenniük”, míg az u/CrimsonFox99 empatikusan kijelentette: „Nehéz hibáztatni őket ezért, különösen, ha egy feltételezett megbízható forrásból származik.”
Egy Twitter-felhasználó megkereste az OpenSea-t és a LooksRare-t könyörgő „Csak egy hamis goblin-állításra kattintottam. 2 MAYC-et és 8 menő macskát loptak el. … kérem, segítsen. Mindent elloptak tőlem." Más felhasználóktól érkeztek hívások, akik támogatták a tolvaj számláinak befagyasztására irányuló kezdeményezést. Úgy tűnik, hogy a decentralizációt gyakran csak addig támogatják, amíg a befektetőknek központosított támogatásra nincs szükségük.
A BAYC Discord korábban kompromittálódott
A Discord szerver nem először fordul elő veszélyeztetett. A szervert 2022 áprilisában feltörték, és ellopták a MAYC #8662-t. Az a történet folytatódott mivel később kiderült, hogy a tajvani popszupersztár, Jay Chou volt az ellopott, 550 ezer dollár értékű NFT tulajdonosa. A Discord-profil mindkét alkalommal feltört, lehetővé téve a támadásnak, hogy adathalász linkeket tegyen közzé a hivatalos csatornákon.
A web2-hoz kapcsolódó web3 infrastruktúra védelme
Vannak olyan megoldások, amelyek megpróbálják leküzdeni az átverő webhelyek problémáját. A legtöbb fő víruskereső eszköz a tiltólistán szereplő webhelyek könyvtárait használja, hogy segítse a felhasználókat az internet böngészésében. A csalások sebessége és gyakorisága azonban azt jelenti, hogy ezek az eszközök nem mindig teljesen naprakészek. Egy króm bővítmény hívott Pénztárca őr megpróbálja megoldani ezt a problémát a web3 térben.
A Wallet Guard elmondta a CryptoSlate-nek:
„Nem mindenki rendelkezik műszaki háttérrel, és nem is tartózkodik túl sokáig a területen… a bővítményünk soha nem érinti a pénztárcáját, csak ismernie kell a felkeresni kívánt domaint.”
Az eszköz megjelölte az adathalász oldal URL-jét, amelyet a BorisVagner Discord-fiókjába tettek közzé, és segíthetett volna a befektetőknek eldönteni, hogy megbízzanak-e a linkben.
Azonban még az ehhez hasonló eszközök sem sérthetetlenek. Egy kifinomult csaló elméletileg bejuthat egy hivatalos Discord-szerverre, miközben megtámadhat egy olyan webhelyet, mint a Wallet Guard, hogy legitim webhelynek tűnjön.” Azonban várhatóan egyetlen eszköz sem lesz 100%-ban sebezhetetlen minden támadással szemben. Ösztönözni kell minden olyan módot, amellyel a befektetők csökkenthetik annak esélyét, hogy csalás áldozataivá váljanak.
Ennek ellenére minden adathalász csalás egy blokklánc projekt csalást támad, amely a blokklánc projekthez való web2 kapcsolaton keresztül érkezik. A web3 funkcionalitás hozzáadása a web2 technológiához, például a Discordhoz, drámai módon növelheti annak biztonságát.
CryptoSlate megkereste BorisVagnert, de nem kapott választ.
A poszt A Bored Ape Yacht Club Discord szerver megsérült, ami 200 ETH, 32 NFT veszteséget okozott jelent meg először CryptoSlate.
- Coinsmart. Európa legjobb Bitcoin- és kriptográfiai tőzsdéje.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. SZABAD HOZZÁFÉRÉS.
- CryptoHawk. Altcoin radar. Ingyenes próbaverzió.
- Forrás: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/
- "
- 10
- 2022
- 9
- Rólunk
- Fiók
- Minden termék
- lehetővé téve
- mindig
- Közlemény
- víruskereső
- alkalmazások
- április
- körül
- fegyverraktár
- elérhető
- háttér
- hogy
- úgy gondolja,
- blockchain
- blockchain projektek
- megsértése
- elkapott
- okozó
- központosított
- csatornák
- króm
- követelés
- klub
- elleni küzdelem
- hogyan
- érkező
- kommentálta
- közösség
- teljesen
- kapcsolat
- tudott
- crypto
- Decentralizálás
- DID
- közvetlen
- viszály
- domain
- drámaian
- Csepp
- különösen
- ETH
- eth érdemes
- mindenki
- minden
- példák
- kizárólagosan
- várható
- hamisítvány
- Végül
- vezetéknév
- első
- csalás
- Fagy
- funkcionalitás
- csapkodott
- fogantyú
- tekintettel
- segít
- azonban
- HTTPS
- Beleértve
- Növelje
- Infrastruktúra
- Kezdeményezés
- Internet
- Befektetők
- kérdés
- IT
- január
- Munka
- ismert
- Labs
- LINK
- linkek
- él
- fontos
- menedzser
- piacára
- Anyag
- Média
- tag
- Partnerek
- Több millió
- a legtöbb
- igények
- NFT
- NFT
- hivatalos
- nyitva
- Nyílt tenger
- Más
- tulajdonos
- rész
- Adathalászat
- adathalász támadás
- politika
- Probléma
- profil
- program
- projektek
- védelme
- gyorsan
- RE
- olvasók
- kap
- csökkenteni
- felszabaduló
- válasz
- jövedelem
- Kockázat
- Átverés
- Csalók
- csalások
- biztonság
- mutatott
- weboldal
- Webhely (ek)
- Közösség
- Közösségi média
- Megoldások
- SOLVE
- kifinomult
- Hely
- sebesség
- meghatározott
- nyilatkozat
- stóla
- lopott
- támogatás
- Támogatott
- Támogató
- csapat
- Műszaki
- Technológia
- A
- A kezdeményezés
- Keresztül
- Bekötött
- idő
- Ma
- szerszám
- szerszámok
- felső
- Bízzon
- us
- használ
- Felhasználók
- érték
- pénztárca
- Web3
- honlapok
- míg
- WHO
- érdemes
- lenne
- A te