Bored Ape Yacht Club Discord Server ўзламаны пасля выкарыстання білетаў Tool

Некалькі сервераў Discord, у тым ліку сервер яхт-клуба Bored Ape, былі ўзламаныя. Здаецца, хакеры выкарысталі нядаўняе абнаўленне бота Ticket Tool Discord, каб размясціць фішынгавыя спасылкі на некалькіх серверах.

NFTs Lost Through Discord Hack

Звязанае з Discord парушэнне бяспекі прывяло да крадзяжу каштоўных NFT. 

Серверы Discord яхт-клуба Bored Ape, Doodles і некалькіх іншых вядомых калекцый NFT былі ўзламаныя рана раніцай у пятніцу, у выніку чаго супольнасць NFT захісталася. 

У 6:19 UTC на серверы Bored Ape з'явілася паведамленне, якое інфармавала карыстальнікаў аб новай калекцыі «Mutant ape Kennel Club» і размяшчала падробленую спасылку на чаканку. Нічога не падазраваўшыя карыстальнікі, якія пераходзілі па спасылцы, падпісвалі транзакцыі, якія давалі хакеру права перавесці іх NFT з іх кашалькоў. Нягледзячы на ​​няўдалы час, гэта не быў першакрасавіцкі жарт — хакеру ўдалося знайсці эксплойт у папулярным боце Discord для пранікнення на серверы і размяшчэння спасылак у абмежаваных каналах без дазволу адміністратара сервера.

Хакер таксама размешчаны падобнае паведамленне на серверы Doodles Discord, якое інфармуе карыстальнікаў аб новым «манетным двары Genesis» з абмежаванай колькасцю. Як і спасылка на допіс Bored Ape Discord, пры выкарыстанні тых, хто націснуў на яе і паспрабаваў чаканіць, хакер перавёў NFT з кашалька.

Афіцыйны рахунак яхт-клуба Bored Ape Yacht Club хутка паведаміў паслядоўнікі атакі. «Вэбхук у нашым Discord быў ненадоўга ўзламаны. Мы адразу гэта заўважылі, але, калі ласка, ведайце: мы не робім першакрасавіцкіх схаваных манетных двароў / падзенняў і г.д.», - гаворыцца ў паведамленні. 

Энтузіяст NFT і сузаснавальнік DAPE SerpentAU першапачаткова напісаў у Twitter, што ўзламаныя серверы адбыліся з-за ўзлому ўладальніка шырока выкарыстоўванага Discord Captcha Bot, спасылаючыся на «ўнутраную інфармацыю», атрыманую ад аднаго з хакераў. Аднак яны пазней пацверджаны што эксплойт з іншым ботам Discord пад назвай Ticket Tool дазволіў хакерам пракрасціся на серверы з яго дапамогай. У адказ на паведамленне SerpentAU, афіцыйны акаўнт Ticket Tool у Twitter заявіў, што абнаўленне, якое выклікала эксплойт, было адноўлена.

Па дадзеных фірмы па бяспецы блокчейна PeckShield, як мінімум адна малпа Bored Ape, адна малпа Mutant і два Doodles NFT былі скрадзеныя хакерам. Здзелка gegevens паказвае, што з тых часоў хакер прадаў або перадаў усе чатыры NFT. 

Сённяшні інцыдэнт - не першы выпадак, калі калекцыянеры губляюць NFT і крыптавалюту з-за ўзламаных сервераў Discord. У лютым члены сервера Doodles Discord сталі ахвярамі фішынгавых спасылак, калі серверны бот быў узламаны, у выніку чаго некалькі ўдзельнікаў страцілі свае Doodles NFT.

Аднак крадзяжы каштоўных незаменных матэрыялаў не абмяжоўваюцца Discord. Таксама ў лютым а фішынгавая афера па электроннай пошце адпраўленыя карыстальнікам OpenSea, прывялі да крадзяжу NFT на суму больш за 3 мільёны долараў з такіх калекцый, як Bored Ape Yacht Club, Doodles і Azuki. 

Па меры росту кошту NFT іх уладальнікі, верагодна, па-ранейшаму будуць станавіцца мішэнню махлярства. Тым, хто працуе з серверамі Discord, трэба будзе прыняць дадатковыя меры засцярогі, каб абараніць свае супольнасці ад далейшых нападаў. 

Раскрыццё інфармацыі: на момант напісання гэтага артыкула аўтар валодаў ETH і некалькімі іншымі криптовалютами.