Прыкладанні Web2, такія як Discord, зноў аказаліся слабым звяном у арсенале блокчейн-праектаў. Больш за 175 ETH было зліта з рахункаў інвестараў пасля ўзлому сервера Bored Ape Yacht club Discord. @BorisVagner, які атрымаў павышэнне ў сацыяльных сетках для Yuga Labs толькі ў студзені 2022 года, узламаў яго ўліковы запіс Discord. Затым зламыснік змог размясціць фішынгавыя спасылкі праз афіцыйны акаўнт BorisVagner на серверы Yuga Labs Discord.
Спасылка была адрэдагавана, каб абараніць чытачоў ад наведвання фішынгавага сайта. BAYC нарэшце выпусціў заяву праз 9 гадзін пасля таго, як пра гэта ўпершыню было паведамлена заяўляючы,
«Сёння ненадоўга эксплуатаваліся нашы серверы Discord. Каманда хутка злавіла і разабралася. Здаецца, пацярпелі каля 200 ETH NFT. Мы ўсё яшчэ вядзем расследаванне, але калі вы пацярпелі, напішыце нам па адрасе [электронная пошта абаронена]"
У заяве паведамляецца, што каманда «хутка вырашыла гэта» і пацвердзіла, што агульны кошт, страчаны ўдзельнікамі, складае 200 ETH. Пры сённяшнім кошце гэта 354 тысячы долараў, якія зніклі амаль у самыя кароткія тэрміны. Адсутнасць тэрміновасці ў паведамленні пра гэта суполцы і кароткасць аб'явы сведчыць пра элемент самазаспакоенасці з боку Yuga Labs.
Уліковы запіс кіраўніка супольнасці ўзламаны.
па Пекшілд, «32 NFT былі скрадзены, у тым ліку 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC» Першапачаткова аб парушэнні паведаміў OKHotshot, які чирикнул, «У @BorisVagner быў узламаны яго акаўнт, што дазволіла ашуканцам ажыццявіць фішынгавую атаку. Было скрадзена больш за 145 еўра». OKHotshot сказаў нам эксклюзіўна, што гэта каля $354k.
«Для любога праекта, які прыносіць мільённы прыбытак, неабходна выконваць належныя меры бяспекі. Асабліва калі праект уваходзіць у топ-10 на рынку. Адсутнасць мэнэджэра па бяспецы значна павялічвае рызыку».
OKHotshot лічыць, што менеджэр па бяспецы мог прадухіліць гэта, бо «яны будуць займацца метадамі бяспекі разладу, палітыкай каманды і сачыць за тым, каб яны выконваліся. Ні адзін член каманды не павінен адкрываць свае прамыя паведамленні, націскаць на спасылкі або выкарыстоўваць свае асноўныя ўліковыя запісы на іншых серверах, каб прывесці некалькі прыкладаў». Yuga Labs ёсць некалькі працоўных роляў даступныя, але ролі бяспекі не даступныя.
Рэакцыя грамадства
Крыптасупольнасць таксама актыўна выказвалася аб гэтай праблеме ў тэме, апублікаванай карыстальнікам Reddit u/naji102. Карыстальнікі абмяркоўвалі падзенне даверу да NFT з-за павелічэння колькасці махлярства, якое зыходзіць нават з афіцыйных крыніц. u/XnoonefromnowhereX пракаментаваў: «Паведамленне мела граматычныя памылкі, што павінна было быць сігналам», а u/CrimsonFox99 спагадліва заявіў: «Цяжка вінаваціць іх у гэтым, асабліва калі яно паступае з нібыта надзейнай крыніцы».
Карыстальнік Twitter звярнуўся да OpenSea і LooksRare умольваючы «Я толькі што націснуў на фальшывую прэтэнзію гобліна. Скралі 2 MAYC і 8 крутых катоў. … калі ласка, дапамажыце. У мяне ўсё скралі». Тэлефанавалі іншыя карыстальнікі, якія падтрымлівалі ініцыятыву замарозіць акаўнты злодзея. Здаецца, часта дэцэнтралізацыя падтрымліваецца толькі да таго часу, пакуль інвестарам не спатрэбіцца цэнтралізаваная падтрымка.
BAYC Discord быў скампраметаваны раней
Гэта не першы раз, калі сервер Discord працуе скампраметаваныя. Сервер быў узламаны ў красавіку 2022 года, і быў скрадзены MAYC #8662. The гісторыя працягвалася як пазней стала вядома, што суперзорка тайваньскай поп-музыкі Джэй Чоу быў уладальнікам скрадзенага NFT коштам 550 тысяч долараў. Профіль Discord быў узламаны ў абодвух выпадках, што дазволіла атацы размясціць фішынгавыя спасылкі на афіцыйных каналах.
Абарона інфраструктуры web2, звязанай з web3
Выпускаюцца рашэнні для барацьбы з праблемай махлярскіх сайтаў. Большасць асноўных антывірусных інструментаў выкарыстоўваюць бібліятэкі сайтаў з чорных спісаў, каб дапамагчы карыстальнікам праглядаць Інтэрнэт. Аднак хуткасць і частата махлярства азначае, што гэтыя інструменты не заўсёды могуць быць цалкам актуальнымі. Пашырэнне Chrome пад назвай Wallet Guard спробы вырашыць гэтую праблему ў прасторы web3.
Wallet Guard сказаў CryptoSlate:
«Не ўсе маюць тэхнічную адукацыю і не працуюць занадта доўга... наша пашырэнне ніколі не закранае ваш кашалёк, яму трэба толькі ведаць дамен, які вы спрабуеце наведаць».
Інструмент пазначыў URL-адрас фішынгавага сайта, апублікаванага ва ўліковым запісе Барыса Вагнера ў Discord, і мог дапамагчы інвестарам вырашыць, ці варта ім давяраць спасылцы.
Аднак нават такія інструменты не непаражальныя. Дасведчаны махляр тэарэтычна можа пракрасціся на афіцыйны сервер Discord, а таксама атакаваць такі сайт, як Wallet Guard, каб зрабіць яго выглядаючым законным». Аднак не чакаецца, што ні адзін інструмент будзе на 100% непаражальны для ўсіх нападаў. Варта заахвочваць любы спосаб, якім інвестары могуць паменшыць верагоднасць таго, што яны стануць ахвярамі махлярства.
Тым не менш, кожная фішынгавая афера атакуе афёру з блокчейн-праектам праз злучэнне web2 з блокчейн-праектам. Даданне функцыянальнасці web3 да такой тэхналогіі web2, як Discord, можа значна павялічыць яе бяспеку.
CryptoSlate звярнуўся да Барыса Вагнера па каментар, але не атрымаў адказу.
Крыніца: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/