יישומי Web2 כגון Discord שוב הוכחו כחוליה החלשה בארסנל פרויקטי הבלוקצ'יין. מעל 175 ETH נוקזו מחשבונות המשקיעים לאחר ששרת Bored Ape Yacht club Discord נפרץ. @BorisVagner, שקודם לרשתות חברתיות עבור Yuga Labs רק בינואר 2022, נפרץ חשבון Discord שלו. לאחר מכן הצליח התוקף לפרסם קישורי פישינג דרך החשבון הרשמי של BorisVagner בשרת Yuga Labs Discord.
הקישור הותקן כדי להגן על הקוראים מביקור באתר הדיוג. BAYC פרסמה לבסוף הצהרה 9 שעות לאחר הדיווח הראשון וציין,
"שרתי הדיסקורד שלנו נוצלו לזמן קצר היום. הצוות תפס וטיפל בזה במהירות. נראה כי הושפעו כ-200 ETH של NFTs. אנחנו עדיין חוקרים, אבל אם הושפעת, שלח לנו דוא"ל לכתובת discord@yugalabs.io."
ההצהרה דיווחה שהצוות "טיפל בזה במהירות" ואישר את הערך הכולל שאבדו החברים כ-200 ETH. לפי הערך של היום זה 354 $ הלך כמעט תוך זמן קצר. חוסר הדחיפות בדיווח על הנושא לקהילה שלה וקיצור ההודעה מעידים על אלמנט של שאננות מצד Yuga Labs.
חשבון מנהל הקהילה נפרץ.
לפי שדה פיקסל, "נגנבו 32 NFTs, כולל 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" הפרצה דווחה תחילה על ידי OKHotshot, אשר צייץ, "@BorisVagner פרץ את החשבון שלו, מה שאפשר לרמאים לבצע את התקפת הדיוג שלהם. יותר מ-145E נגנבו." OKHotshot אמר לנו באופן בלעדי שזה בסביבות 354 אלף דולר.
"יש לשמור על נוהלי אבטחה נאותים עבור כל פרויקט שמכניס מיליונים. במיוחד אם הפרויקט נמצא בטופ 10 של השוק. אי קיום מנהל אבטחה מגדיל את הסיכון הזה משמעותית".
OKHotshot מאמין שמנהל אבטחה יכול היה למנוע זאת מכיוון ש"הם יטפלו בפרקטיקות האבטחה של הדיסקורד, במדיניות הצוות, ויוודאו שהם מתקיימים. אף חבר צוות לא אמור לפתוח את ההודעות הישירות שלו, ללחוץ על קישורים או להשתמש בחשבונות הראשיים שלו בשרתים אחרים רק כדי לתת כמה דוגמאות." למעבדות יוגה יש מספר תפקידי עבודה זמין, אך אין תפקידי אבטחה פעילים.
תגובה קהילתית
גם קהילת הקריפטו הייתה קולנית לגבי הנושא באמצעות שרשור שפרסם משתמש Reddit u/naji102. משתמשים דנו בירידה באמון עבור NFTs עקב הגידול בהונאות שאפילו מגיעות ממקורות רשמיים. u/XnoonefromnowhereX הגיב, "בהודעה היו שגיאות דקדוקיות שהיו אמורות להיות דגל אדום," בעוד u/CrimsonFox99 הצהיר באמפתיה, "קשה להאשים אותם בחלק הזה, במיוחד שהגיע ממקור מהימן כביכול."
משתמש טוויטר פנה אל OpenSea ו-LooksRare מתחנן "רק לחצתי על תביעה מזויפת של גובלין. 2 MAYC ו-8 חתולים מגניבים נגנבו. … אנא עזור. גנבו לי הכל". שיחות הגיעו ממשתמשים אחרים שתומכים ביוזמה להקפיא את חשבונותיו של הגנב. נראה שלעתים קרובות ביזור נתמך רק עד שהמשקיעים זקוקים לתמיכה ריכוזית.
BAYC Discord התפשר בעבר
זו לא הפעם הראשונה ששרת Discord נמצא נפגע. השרת נפרץ באפריל 2022, כאשר MAYC #8662 נגנב. ה הסיפור המשיך כפי שנודע מאוחר יותר שכוכב הפופ הטיוואני ג'יי צ'ו היה הבעלים של ה-NFT הגנוב בשווי 550 אלף דולר. פרופיל Discord נפגע בשתי ההזדמנויות, מה שאפשר למתקפה לפרסם קישורי פישינג בערוצים הרשמיים.
הגנה על תשתית web2 הקשורה ל-web3
ישנם פתרונות שמשתחררים כדי לנסות להילחם בבעיית אתרי הונאה. רוב כלי האנטי-וירוס העיקריים משתמשים בספריות של אתרים ברשימה השחורה כדי לסייע למשתמשים בגלישה באינטרנט. עם זאת, המהירות והתדירות של הונאות אומרות שהכלים הללו לא תמיד מעודכנים לחלוטין. סיומת כרום בשם שומר ארנק מנסה לפתור בעיה זו במרחב web3.
Wallet Guard אמר ל- CryptoSlate:
"לא לכולם יש רקע טכני וגם לא נמצא בחלל יותר מדי זמן... התוסף שלנו אף פעם לא נוגע בארנק שלך, הוא רק צריך לדעת את הדומיין שאתה מנסה לבקר בו."
הכלי סימן את כתובת ה-URL של אתר הדיוג שפורסמה בחשבון Discord של BorisVagner ויכול היה לסייע למשקיעים להחליט אם עליהם לסמוך על הקישור.
עם זאת, אפילו כלים כגון זה אינם בלתי פגיעים. רמאי מתוחכם יכול באופן תיאורטי להיכנס לשרת דיסקורד רשמי ובמקביל לתקוף אתר כמו Wallet Guard כדי לגרום לו להיראות כאתר חוקי". עם זאת, אף כלי לא צפוי להיות 100% בלתי פגיע לכל ההתקפות. יש לעודד כל דרך שבה משקיעים יכולים להפחית את הסיכוי שייפלו קורבן להונאה.
ובכל זאת, כל תרמית דיוג תוקפת הונאת פרויקט בלוקצ'יין היא מגיעה דרך חיבור web2 לפרויקט הבלוקצ'יין. הוספת פונקציונליות web3 לטכנולוגיית web2 כגון Discord עשויה להגביר באופן דרמטי את האבטחה שלה.
CryptoSlate פנה אל בוריס וגנר לתגובה אך לא קיבל תגובה.
ההודעה שרת Discord של מועדון יאכטות Ape משועמם נפרץ וגרם להפסדים של 200 ETH, 32 NFTs הופיע לראשונה ב CryptoSlate.
- "
- 10
- 2022
- 9
- אודות
- חֶשְׁבּוֹן
- תעשיות
- מאפשר
- תמיד
- הַכרָזָה
- אנטי וירוס
- יישומים
- אַפּרִיל
- סביב
- ארסנל
- זמין
- רקע
- להיות
- מאמין
- blockchain
- פרויקטים blockchain
- הפרה
- נתפס
- גורם
- מְרוּכָּז
- ערוצים
- Chrome
- לטעון
- מועדון
- להילחם
- איך
- מגיע
- הגיב
- קהילה
- לחלוטין
- הקשר
- יכול
- קריפטו
- ביזור
- DID
- ישיר
- מחלוקת
- תחום
- באופן דרמטי
- ירידה
- אמייל
- במיוחד
- ETH
- eth שווה
- כולם
- הכל
- דוגמאות
- אך ורק
- צפוי
- מְזוּיָף
- בסופו של דבר
- ראשון
- firsttime
- הונאה
- להקפיא
- פונקציונלי
- פרוצים
- לטפל
- יש
- לעזור
- אולם
- HTTPS
- כולל
- להגדיל
- תשתית
- יוזמה
- אינטרנט
- משקיעים
- סוגיה
- IT
- יָנוּאָר
- עבודה
- ידוע
- מעבדות
- קשר
- לינקדין
- קישורים
- לחיות
- גדול
- מנהל
- שוק
- דבר
- מדיה
- חבר
- להרשם/להתחבר
- מיליונים
- רוב
- צרכי
- NFT
- NFTs
- רשמי
- לפתוח
- OpenSea
- אחר
- בעלים
- חלק
- דיוג
- התקפת דיוג
- מדיניות
- בעיה
- פּרוֹפִיל
- פּרוֹיֶקט
- פרויקטים
- להגן
- מהירות
- RE
- הקוראים
- לקבל
- להפחית
- שוחרר
- תגובה
- הכנסה
- הסיכון
- הונאה
- רמאים
- הונאות
- אבטחה
- הראה
- אתר
- אתרים
- חֶברָתִי
- מדיה חברתית
- פתרונות
- לפתור
- מתוחכם
- מֶרחָב
- מְהִירוּת
- אמור
- הצהרה
- צָעִיף
- גָנוּב
- תמיכה
- נתמך
- מסייע
- נבחרת
- טכני
- טכנולוגיה
- השמיים
- היוזמה
- דרך
- קָשׁוּר
- זמן
- היום
- כלי
- כלים
- חלק עליון
- סומך
- us
- להשתמש
- משתמשים
- ערך
- ארנק
- Web3
- אתרים
- בזמן
- מי
- ראוי
- היה