Першыя паведамленні аб узломе сервера Discord Bored Ape Yacht Club (BAYC) у Twitter выклікалі падазрэнні, што гэта частка сусветнага свавольства. Аднак высвятляецца, што гэта не жарт, таму што ўзлом прывёў да значна большага сур'ёзны праблема, чым некалькі спам-паведамленняў.
BAYC Discord узламаны
Афіцыйны сервер Discord, які выкарыстоўваўся для размяшчэння членаў Bored Ape Yacht Club, Mutant Ape Yacht Club і Mutant Ape Kennel Club, трох калекцый NFT Yuga Labs, быў узламаны невядомым злачынцам. Адрасы кашалькоў, звязаныя з фішынгавай атакай, былі пазначаныя як ашуканскія пасля таго, як хакеры адправілі на іх атрыманыя з іх сродкі.
Каманда BAYC пацвердзіла, што іх сервер Discord быў узламаны праз Twitter. Падчас атакі хакеры змаглі скрасці каштоўны прадмет з клуба, Mutant Ape Yacht Club (MAYC) NFT.
Нягледзячы на тое, што NFT у калекцыі клуба былі пералічаны па мінімальнай цане 23.6 ETH, NFT 8862 прапаноўваўся па больш нізкай цане 21.3 ETH. У суполцы толькі адзначылі, што пасля гэтага крадзяжу сітуацыя сур'ёзная.
Гэта была праблема не толькі з BAYC; іншы супрацоўнік NFT Collection, Doodles, сутыкнуўся з падобнай праблемай са сваім серверам Discord. Мяркуецца, што 1,000 спам-ботаў запоўнілі канал «Агульны чат» сервера паведамленнямі, якія накіроўвалі карыстальнікаў чаканіць NFT.
Як аказалася, гэта быў не першы раз, калі Doodles быў скампраметаваны. Не так даўно, 27 лютага, хакеру ўдалося пранікнуць на сервер калекцыі Discord. Аднак каманда хутка разабралася з праблемай і засцерагла Discord.
Як адбыўся ўзлом
Serpent, карыстальнік Twitter, які прэтэнзій каб знайсці прычыну ўзлому, яшчэ не атрымаў афіцыйнага пацверджання ад каманды BAYC. Інструмент Ticket Tool быў сапраўдным вінаватым у ўзломе, на думку Serpent. У дадатак да таго, што Captcha Bot быў узламаны, карыстальнік заявіў, што ўнутраная інфармацыя, атрыманая ад хакераў, паказвае, што яны скралі зыходны код.
На дадзены момант BAYC выпусціў сваім членам Discord толькі папераджальнае паведамленне, у якім заклікае іх быць асцярожнымі з паведамленнямі, паказанымі на серверы Discord, у якіх гаворыцца: «ЗАСТАВАЙЦЕСЯ Ў БЯСПЕКУ. Не чаканіце нічога з Discord зараз. Вэбхук у нашым Discord быў ненадоўга ўзламаны. Мы адразу гэта выявілі, але, калі ласка, майце на ўвазе: мы не робім першакрасавіцкіх стэлс-мінтаў / дэсантаў і г.д. Іншыя Discords таксама зараз падвяргаюцца нападам».
Хакі Discord на NFT становяцца папулярнымі
Распаўсюджаным шляхам хакераў для ажыццяўлення фішынгавых атак на калекцыянераў NFT з'яўляецца ўзлом уліковых запісаў Discord. Два праекты NFT, фрактальнай і Каралеўства малпаў, сталі ахвярамі таго ж нападу ў снежні. Каманды ўзаемадзейнічалі з абодвума праектамі са сваімі суполкамі праз серверы чата Discord. У дзень перадпродажаў абодва праекты планавалі раздаць узнагароды членам сваёй супольнасці.
Абодва праекты сцвярджалі, што іх прыхільнікам будзе прадастаўлена абмежаваная версія NFT. На жаль, у тых, хто перайшоў па спасылцы, іх кашалькі таемна спусташаліся. Fractal і Monkey Kingdom апублікавалі паведамленні на сваіх платформах менш чым за гадзіну, у якіх паведамлялася, што іх серверы былі ўзламаныя. У Fractal ашуканцы забралі крыптавалюту на суму каля 150,000 тысяч долараў. Паводле ацэнак, агульную суму ў 1.3 мільёна долараў было заяўлена на Каралеўства малпаў.
Праекты NFT асабліва ўразлівыя да нападаў гэтага тыпу з-за іх хуткага распродажу, таму ім цяжка супрацьстаяць. У выніку, першыя карыстальнікі, хутчэй за ўсё, хутка пачнуць дзейнічаць, калі ўбачаць аб'яву на Discord, якая дае ім перавагу. У сваю чаргу, гэта дазваляе ашуканцам выкарыстоўваць падробленыя паведамленні для разбуральнага эфекту.
Крыніца: https://crypto.news/bored-ape-yacht-club-discord-server-hack/