NFT Bored Ape Yacht Club сталі адным з асноўных элементаў крыптакультуры. Будучы адной з самых вядомых калекцый у NFT-ландшафце, яна таксама стала галоўнай мішэнню для ашуканцаў, хакераў і іншых сумных гульцоў.
Па меры росту прасторы NFT расце і складаны характар эксплойтаў і хакаў. У мінулыя выхадныя гэта было на галоўным паказе, бо складаная схема прывяла да буйнога крадзяжу калекцыі Bored Ape.
Bored Ape Blues
Хакерства і эксплойты, накіраваныя на ўладальнікаў Bored Ape, не з'яўляюцца чымсьці новым. Тэматычныя даследаванні вакол калекцыі за апошні год: ад галівудскага акцёра Сэт Грын, да цэлага Эксплойты Discord, мы бачылі цэлы сад паспяховых спроб выкарыстання BAYC.
Нягледзячы на тое, што Yuga Labs не вінавата, гэтыя эксплойты працягваюць асвятляць, наколькі важная бяспека кашалька для ўладальнікаў папулярнай калекцыі NFT. Больш за тое, эксплойты такога тыпу далёка не эксклюзіўныя для Bored Ape Yacht Club, а звычайна прысутнічаюць ва ўсіх асноўных калекцыях NFT з «блакітнымі фішкамі».
Апошні прыклад усяго гэтага быў зроблены ў мінулыя выходныя і ўключаў у сябе неверагодныя ўзроўні сацыяльнай інжынерыі - пакінуўшы суполцы сур'ёзны напамін аб тым, што быць дбайным і арыентаваным на дэталі сёння проста недастаткова, каб абараніць свае актывы.
Яхт-клуб Bored Ape стварыў масіўную суполку і падпісчыкаў, у тым ліку спецыяльны токен APE. | Крыніца: APE-USD на TradingView.com
Разбіваючы парушэнне
Парушэнне ў апошнія дні прывяло да таго, што 14 NFT Bored Ape Yacht Club былі выкрадзены з дапамогай складанай схемы, якая ўключала сацыяльную інжынерыю высокага ўзроўню ад аднаго ўладальніка.
Гэта апошні ўзровень узломаў, якія паказваюць узровень дэталізацыі і працы, якія эксплуататары гатовыя прайсці ў сучасным свеце. У гэтым выпадку хакер змог хутка ліквідаваць NFT прыкладна за 850 ETH, або крыху больш за 1 мільён долараў.
Падрабязная тэма ад папулярнага аналітыка бяспекі web3 @Змей разбівае гісторыю коратка і з вялікай колькасцю дэталяў.
Схема сацыяльнай інжынерыі прадугледжвала, што хакер прадстаўляў сябе кастынг-дырэктарам студыі ў Лос-Анджэлесе, які імкнуўся атрымаць ліцэнзію на NFT за значную плату; пакуль студыя існуе, псеўданім хакера не існуе. Аднак фальшывыя дамены электроннай пошты, гадзіны званкоў, фальшывыя партнёрскія прапановы і іншыя фактары сталі прычынай гэтага крадзяжу.
Схема распрацоўвалася не менш за некалькі месяцаў. Гэта яшчэ адзін прыклад таго, што для высокадаляравых NFT халадзільнае захоўванне з'яўляецца самым бяспечным варыянтам, а падпісанне або ўзаемадзеянне з кантрактамі можа быць значнай рызыкай, калі гэта не пацверджана загадзя. Як заключыў Serpent у сваёй тэме, выкарыстанне некалькіх кашалькоў, пацвярджэнне асобы і адмова ад падпісання выпадковых подпісаў або транзакцый з'яўляюцца важнымі правіламі для ўладальнікаў NFT.
Крыніца: https://bitcoinist.com/1m-bored-ape-collection-stolen/