Le applicazioni Web2 come Discord hanno dimostrato ancora una volta di essere l'anello debole nell'arsenale dei progetti blockchain. Oltre 175 ETH sono stati prosciugati dai conti degli investitori dopo che il server Discord del Bored Ape Yacht Club è stato violato. @BorisVagner, che è stato promosso ai social media per Yuga Labs solo nel gennaio 2022, ha subito una violazione del suo account Discord. L'attaccante è stato quindi in grado di pubblicare collegamenti di phishing tramite l'account ufficiale di BorisVagner sul server Discord di Yuga Labs.
Il collegamento è stato oscurato per impedire ai lettori di visitare il sito di phishing. BAYC ha finalmente rilasciato una dichiarazione 9 ore dopo la prima segnalazione dichiarando,
“I nostri server Discord sono stati sfruttati brevemente oggi. Il team l'ha catturato e l'ha affrontato rapidamente. Sembra che siano stati colpiti circa 200 ETH di NFT. Stiamo ancora indagando, ma se sei stato colpito, inviaci un'e-mail all'indirizzo [email protected]"
La dichiarazione riportava che il team "ha affrontato la questione rapidamente" e ha confermato il valore totale perso dai membri come 200 ETH. Al valore odierno, sono 354 dollari andati quasi in men che non si dica. La mancanza di urgenza nel segnalare la questione alla propria community e la brevità dell'annuncio suggeriscono un elemento di compiacimento da parte di Yuga Labs.
Account Community Manager compromesso.
Secondo Scudo, "32 NFT sono stati rubati, inclusi 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" La violazione è stata inizialmente segnalata da OKHotshot, che tweeted, "@BorisVagner ha violato il suo account, consentendo ai truffatori di eseguire il loro attacco di phishing. Sono stati rubati oltre 145E in". OKHotshot ci ha detto in esclusiva che si tratta di circa $ 354k.
“Le corrette pratiche di sicurezza dovrebbero essere mantenute per qualsiasi progetto che produce milioni di entrate. Soprattutto se il progetto è nella top 10 del mercato. La mancanza di un responsabile della sicurezza aumenta significativamente il rischio".
OKHotshot ritiene che un responsabile della sicurezza avrebbe potuto impedirlo in quanto "avrebbero gestito le pratiche di sicurezza discordia, le politiche del team e si sarebbero assicurati che fossero rispettate. Nessun membro del team dovrebbe avere i propri messaggi diretti aperti, fare clic sui collegamenti o utilizzare i propri account principali su altri server solo per fare alcuni esempi". Yuga Labs ha diversi ruoli lavorativi disponibile, ma nessun ruolo di sicurezza è attivo.
Reazione della comunità
La comunità crittografica ha anche parlato del problema attraverso un thread pubblicato dall'utente Reddit u/naji102. Gli utenti hanno discusso del calo di fiducia per le NFT a causa dell'aumento delle truffe che provengono anche da fonti ufficiali. u/XnoonefromnowhereX ha commentato: "Il messaggio conteneva errori grammaticali che avrebbero dovuto essere una bandiera rossa", mentre u/CrimsonFox99 ha affermato empaticamente: "Difficile dar loro la colpa da quella parte, soprattutto provenendo da una presunta fonte attendibile".
Un utente di Twitter ha contattato OpenSea e LooksRare supplica “Ho appena cliccato su una falsa affermazione di un goblin. Sono stati rubati 2 MAYC e 8 fantastici gatti. … per favore aiuto. Mi hanno rubato tutto”. Sono arrivate chiamate da altri utenti che hanno sostenuto l'iniziativa per bloccare gli account del ladro. Sembra che spesso il decentramento sia supportato solo fino a quando gli investitori non hanno bisogno di un supporto centralizzato.
BAYC Discord è stato compromesso prima
Questa non è la prima volta che il server Discord è stato compromessa. Il server è stato violato nell'aprile 2022, con il furto di MAYC #8662. Il storia continuata come in seguito divenne noto che la superstar pop taiwanese Jay Chou era il proprietario della NFT rubata del valore di $ 550. Un profilo Discord è stato compromesso in entrambe le occasioni, consentendo all'attacco di pubblicare link di phishing sui canali ufficiali.
Protezione dell'infrastruttura web2 legata a web3
Ci sono soluzioni in fase di rilascio per tentare di combattere il problema dei siti Web truffa. La maggior parte dei principali strumenti antivirus utilizza librerie di siti nella lista nera per aiutare gli utenti a navigare in Internet. Tuttavia, la velocità e la frequenza delle truffe fanno sì che questi strumenti non siano sempre completamente aggiornati. È stata chiamata un'estensione di Chrome Guardia del portafoglio tenta di risolvere questo problema nello spazio web3.
Wallet Guard ha detto a CryptoSlate:
"Non tutti hanno un background tecnico né sono stati in giro per lo spazio troppo a lungo... la nostra estensione non tocca mai il tuo portafoglio, ha solo bisogno di conoscere il dominio che stai tentando di visitare."
Lo strumento ha segnalato l'URL del sito di phishing pubblicato sull'account Discord di BorisVagner e avrebbe potuto aiutare gli investitori a decidere se fidarsi del collegamento.
Tuttavia, anche strumenti come questo non sono invulnerabili. Un sofisticato truffatore potrebbe teoricamente entrare in un server Discord ufficiale mentre attacca anche un sito come Wallet Guard per farlo sembrare un sito legittimo. Tuttavia, nessuno strumento dovrebbe essere invulnerabile al 100% a tutti gli attacchi. Dovrebbe essere incoraggiato qualsiasi modo in cui gli investitori possano ridurre le possibilità che cadano vittime di frodi.
Tuttavia, ogni truffa di phishing attacca una truffa di un progetto blockchain che arriva attraverso una connessione web2 al progetto blockchain. L'aggiunta della funzionalità web3 alla tecnologia web2 come Discord potrebbe aumentare notevolmente la sua sicurezza.
CryptoSlate ha contattato BorisVagner per un commento ma non ha ricevuto risposta.
Fonte: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/