Ключавыя вынас
- Серверы Discord яхт-клуба Bored Ape Yacht Club і некалькі іншых калекцый NFT былі ўзламаныя ў пятніцу раніцай.
- Хакер скарыстаўся абнаўленнем шырока распаўсюджанага бота Ticket Tool, каб размясціць падробленыя спасылкі на чаканку.
- Хакер скраў як мінімум чатыры NFT з калекцый Bored Ape, Mutant Ape і Doodles.
Адправіць гэтую артыкул
Некалькі сервераў Discord, у тым ліку сервер яхт-клуба Bored Ape, былі ўзламаныя. Здаецца, хакеры выкарысталі нядаўняе абнаўленне бота Ticket Tool Discord, каб размясціць фішынгавыя спасылкі на некалькіх серверах.
NFTs Lost Through Discord Hack
Звязанае з Discord парушэнне бяспекі прывяло да крадзяжу каштоўных NFT.
Серверы Discord яхт-клуба Bored Ape, Doodles і некалькіх іншых вядомых калекцый NFT былі ўзламаныя рана раніцай у пятніцу, у выніку чаго супольнасць NFT захісталася.
У 6:19 UTC на серверы Bored Ape з'явілася паведамленне, якое інфармавала карыстальнікаў аб новай калекцыі «Mutant ape Kennel Club» і размяшчала падробленую спасылку на чаканку. Нічога не падазраваўшыя карыстальнікі, якія пераходзілі па спасылцы, падпісвалі транзакцыі, якія давалі хакеру права перавесці іх NFT з іх кашалькоў. Нягледзячы на няўдалы час, гэта не быў першакрасавіцкі жарт — хакеру ўдалося знайсці эксплойт у папулярным боце Discord для пранікнення на серверы і размяшчэння спасылак у абмежаваных каналах без дазволу адміністратара сервера.
Хакер таксама размешчаны падобнае паведамленне на серверы Doodles Discord, якое інфармуе карыстальнікаў аб новым «манетным двары Genesis» з абмежаванай колькасцю. Як і спасылка на допіс Bored Ape Discord, пры выкарыстанні тых, хто націснуў на яе і паспрабаваў чаканіць, хакер перавёў NFT з кашалька.
Афіцыйны рахунак яхт-клуба Bored Ape Yacht Club хутка паведаміў паслядоўнікі атакі. «Вэбхук у нашым Discord быў ненадоўга ўзламаны. Мы адразу гэта заўважылі, але, калі ласка, ведайце: мы не робім першакрасавіцкіх схаваных манетных двароў / падзенняў і г.д.», - гаворыцца ў паведамленні.
Энтузіяст NFT і сузаснавальнік DAPE SerpentAU першапачаткова напісаў у Twitter, што ўзламаныя серверы адбыліся з-за ўзлому ўладальніка шырока выкарыстоўванага Discord Captcha Bot, спасылаючыся на «ўнутраную інфармацыю», атрыманую ад аднаго з хакераў. Аднак яны пазней пацверджаны што эксплойт з іншым ботам Discord пад назвай Ticket Tool дазволіў хакерам пракрасціся на серверы з яго дапамогай. У адказ на паведамленне SerpentAU, афіцыйны акаўнт Ticket Tool у Twitter заявіў, што абнаўленне, якое выклікала эксплойт, было адноўлена.
Па дадзеных фірмы па бяспецы блокчейна PeckShield, як мінімум адна малпа Bored Ape, адна малпа Mutant і два Doodles NFT былі скрадзеныя хакерам. Здзелка gegevens паказвае, што з тых часоў хакер прадаў або перадаў усе чатыры NFT.
Сённяшні інцыдэнт - не першы выпадак, калі калекцыянеры губляюць NFT і крыптавалюту з-за ўзламаных сервераў Discord. У лютым члены сервера Doodles Discord сталі ахвярамі фішынгавых спасылак, калі серверны бот быў узламаны, у выніку чаго некалькі ўдзельнікаў страцілі свае Doodles NFT.
Аднак крадзяжы каштоўных незаменных матэрыялаў не абмяжоўваюцца Discord. Таксама ў лютым а фішынгавая афера па электроннай пошце адпраўленыя карыстальнікам OpenSea, прывялі да крадзяжу NFT на суму больш за 3 мільёны долараў з такіх калекцый, як Bored Ape Yacht Club, Doodles і Azuki.
Па меры росту кошту NFT іх уладальнікі, верагодна, па-ранейшаму будуць станавіцца мішэнню махлярства. Тым, хто працуе з серверамі Discord, трэба будзе прыняць дадатковыя меры засцярогі, каб абараніць свае супольнасці ад далейшых нападаў.
Раскрыццё інфармацыі: на момант напісання гэтага артыкула аўтар валодаў ETH і некалькімі іншымі криптовалютами.
Адправіць гэтую артыкул
OpenSea NFT Hack выкрывае рызыкі самастойнага захавання Web3
Хакер скраў сотні каштоўных NFT з запатрабаваных калекцый, такіх як Bored Ape Yacht Club, Azuki і NFT Worlds. Карыстальнікі OpenSea, арыентаваныя на ўзлом NFT Хакер скраў мільёны…