👋 Хотите работать с нами? CryptoSlate набирает несколько вакансий!
Приложения Web2, такие как Discord, снова оказались слабым звеном в арсенале блокчейн-проектов. Более 175 ETH были слиты со счетов инвесторов после взлома сервера Discord яхт-клуба Bored Ape. @BorisVagner, который был переведен в социальные сети для Yuga Labs только в январе 2022 года, взломал свою учетную запись Discord. Затем злоумышленник смог разместить фишинговые ссылки через официальный аккаунт Бориса Вагнера на сервере Discord Yuga Labs.
Ссылка была отредактирована, чтобы защитить читателей от посещения фишингового сайта. BAYC, наконец, выпустила заявление через 9 часов после того, как о нем впервые сообщили, в котором говорится:
«Сегодня наши серверы Discord были ненадолго взломаны. Команда обнаружила и быстро устранила проблему. По всей видимости, пострадали NFT на сумму около 200 ETH.
В заявлении сообщается, что команда «быстро решила проблему» и подтвердила, что общая сумма, потерянная участниками, составляет 200 ETH. По сегодняшнему курсу это 354 тысячи долларов, которые исчезли почти мгновенно. Отсутствие срочности в сообщении об этом сообществу и краткость объявления предполагают элемент самоуспокоенности со стороны Yuga Labs.
Аккаунт менеджера сообщества взломан.
Согласно Peckshield, «было украдено 32 NFT, в том числе 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC». О взломе первоначально сообщил OKHotshot, который написал в Твиттере: «Учетная запись @BorisVagner была взломана, что позволило мошенникам выполнить их фишинговую атаку. Было украдено более 145 евро». OKHotshot сообщил нам эксклюзивно, что это около 354 тысяч долларов.
«Для любого проекта, приносящего миллионы долларов дохода, необходимо соблюдать надлежащие методы обеспечения безопасности. Особенно, если проект входит в десятку лучших на рынке. Отсутствие менеджера по безопасности значительно увеличивает этот риск».
OKHotshot считает, что менеджер по безопасности мог бы предотвратить это, поскольку «они будут обрабатывать методы безопасности Discord, командную политику и следить за их соблюдением. Ни один член команды не должен открывать свои личные сообщения, нажимать на ссылки или использовать свои основные учетные записи на других серверах. просто чтобы привести несколько примеров». В Yuga Labs есть несколько доступных рабочих ролей, но ни одна из ролей безопасности не работает.
Реакция сообщества
Криптовалютное сообщество также высказалось по поводу проблемы в треде, опубликованном пользователем Reddit u/naji102. Пользователи обсудили падение доверия к NFT из-за роста мошенничества, которое исходит даже из официальных источников. u/XnoonefromnowhereX прокомментировал: «В сообщении были грамматические ошибки, которые должны были стать тревожным сигналом», а u/CrimsonFox99 сочувственно заявил: «Трудно винить их в этой части, особенно если они исходят от предполагаемого надежного источника».
Пользователь Твиттера обратился к OpenSea и LooksRare с просьбой: «Я только что нажал на поддельное заявление о гоблине. Были украдены 2 MAYC и 8 крутых котов… пожалуйста, помогите. Они украли у меня все». Звонки поступали от других пользователей, поддерживающих инициативу по заморозке аккаунтов вора. Кажется, что часто децентрализация поддерживается только до тех пор, пока инвесторам не понадобится централизованная поддержка.
BAYC Discord был скомпрометирован ранее
Это не первый случай взлома сервера Discord. Сервер был взломан в апреле 2022 года, украден MAYC #8662. История продолжилась, поскольку позже стало известно, что суперзвезда тайваньской поп-музыки Джей Чоу был владельцем украденного NFT на сумму 550 тысяч долларов. Профиль Discord был взломан в обоих случаях, что позволило злоумышленникам разместить фишинговые ссылки на официальных каналах.
Защита инфраструктуры web2, привязанной к web3
Выпускаются решения, направленные на борьбу с мошенническими веб-сайтами. Большинство основных антивирусных инструментов используют библиотеки сайтов из черного списка, чтобы помочь пользователям просматривать Интернет. Однако скорость и частота мошенничества означают, что эти инструменты не всегда могут быть полностью обновлены. Расширение Chrome под названием Wallet Guard пытается решить эту проблему в пространстве Web3.
Wallet Guard сообщил CryptoSlate:
«Не у всех есть техническое образование и они слишком долго работают в этом пространстве… наше расширение никогда не касается вашего кошелька, ему нужно только знать домен, который вы пытаетесь посетить».
Инструмент помечал URL-адрес фишингового сайта, размещенный в аккаунте Бориса Вагнера в Discord, и мог бы помочь инвесторам решить, следует ли им доверять ссылке.
Однако даже такие инструменты не являются неуязвимыми. Теоретически изощренный мошенник может проникнуть на официальный сервер Discord, а также атаковать такой сайт, как Wallet Guard, чтобы он выглядел как законный». Однако ожидается, что ни один инструмент не будет на 100% неуязвим для всех атак. следует поощрять вероятность того, что они станут жертвами мошенничества.
Тем не менее, каждое мошенничество с фишингом атакует мошенничество с проектом блокчейна, которое происходит через соединение web2 с проектом блокчейна. Добавление функциональности web3 к технологии web2, такой как Discord, может значительно повысить ее безопасность.
CryptoSlate обратился к Борису Вагнеру за комментарием, но не получил ответа.
Лиам впервые занялся криптовалютой, добыв Dogecoin в нерабочее время в своей компании по производству видео в 2013 году. С тех пор он стал «блокчейн-максималистом», а впоследствии стал стратегическим консультантом web3.
