„Web2“ programos, tokios kaip „Discord“, vėl pasirodė esanti silpnoji „blockchain“ projektų arsenalo grandis. Daugiau nei 175 ETH buvo nusausinti iš investuotojų sąskaitų po to, kai buvo pažeistas Bored Ape jachtklubo Discord serveris. @BorisVagner, kurio „Yuga Labs“ socialinė žiniasklaida buvo paaukštinta tik 2022 m. sausį, buvo pažeista jo „Discord“ paskyra. Tada užpuolikas galėjo paskelbti sukčiavimo nuorodas per oficialią BorisVagner paskyrą Yuga Labs Discord serveryje.
Nuoroda buvo pakeista, kad skaitytojai nesilankytų sukčiavimo svetainėje. BAYC pagaliau paskelbė pareiškimą praėjus 9 valandoms po to, kai pirmą kartą buvo pranešta teigdamas,
„Mūsų Discord serveriai šiandien buvo trumpam išnaudoti. Komanda sugavo ir greitai tai išsprendė. Atrodo, kad buvo paveikta apie 200 ETH vertės NFT. Vis dar tiriame, bet jei tai buvo paveikta, atsiųskite mums el. laišką adresu [apsaugotas el. paštu]"
Pareiškime pranešta, kad komanda „greitai tai išsprendė“ ir patvirtino, kad bendra narių prarasta vertė yra 200 ETH. Šiuolaikine verte tai yra 354 XNUMX USD beveik per trumpą laiką. Neskubėjimas pranešti apie šį klausimą savo bendruomenei ir pranešimo trumpumas rodo, kad „Yuga Labs“ pasitenkina.
Bendruomenės valdytojo paskyra pažeista.
Pagal „Peckshield“, „Pavogti 32 NFT, įskaitant 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" Apie pažeidimą iš pradžių pranešė OKHotshot, kuris tweeted, „@BorisVagner buvo pažeista jo paskyra, todėl sukčiai leido įvykdyti sukčiavimo ataką. Pavogta daugiau nei 145E. OKHotshot mums tik pasakė, kad tai yra apie 354 tūkst. USD.
„Bet koks projektas, uždirbantis milijonus pajamų, turėtų būti laikomasi tinkamos saugumo praktikos. Ypač jei projektas patenka į geriausių rinkos 10-uką. Saugos vadovo neturėjimas žymiai padidina šią riziką.
„OKHotshot“ mano, kad saugos vadybininkas galėjo tam užkirsti kelią, nes „jie elgtųsi su nesuderinama saugumo praktika, komandos politika ir užtikrintų, kad jos būtų laikomasi. Nė vienas komandos narys neturėtų atidaryti tiesioginių pranešimų, spustelėti nuorodas ar naudoti savo pagrindines paskyras kituose serveriuose, kad pateiktų keletą pavyzdžių. „Yuga Labs“ turi keli darbo vaidmenys pasiekiama, bet nėra saugos vaidmenų.
Bendruomenės reakcija
Kriptovaliutų bendruomenė taip pat garsiai kalbėjo apie šią problemą per temą, kurią paskelbė Reddit vartotojas u/naji102. Vartotojai aptarė, kad sumažėjo pasitikėjimas NFT dėl padidėjusio sukčiavimo atvejų, kurie gaunami net iš oficialių šaltinių. u/XnoonefromnowhereX pakomentavo: „Pranešime buvo gramatinių klaidų, kurios turėjo būti raudona vėliavėlė“, o u/CrimsonFox99 empatiškai pareiškė: „Sunku juos kaltinti dėl tos dalies, ypač iš tariamo patikimo šaltinio.
„Twitter“ vartotojas susisiekė su „OpenSea“ ir „LooksRare“. maldavimas „Aš ką tik spustelėjau netikrą goblino teiginį. Buvo pavogtos 2 MAYC ir 8 šaunios katės. ...prašau padėk. Jie pavogė iš manęs viską“. Skambučių sulaukė kiti vartotojai, palaikantys iniciatyvą įšaldyti vagies sąskaitas. Atrodo, kad dažnai decentralizacija palaikoma tik tol, kol investuotojams prireikia centralizuotos paramos.
BAYC Discord buvo pažeistas anksčiau
Tai ne pirmas kartas, kai „Discord“ serveris veikia pažeistas. Į serverį buvo įsilaužta 2022 m. balandžio mėn., kai buvo pavogtas MAYC Nr. 8662. The istorija tęsėsi kaip vėliau tapo žinoma, kad Taivano popsuperžvaigždė Jay Chou buvo pavogto 550 tūkst. USD vertės NFT savininkas. Abiem atvejais buvo pažeistas „Discord“ profilis, todėl ataka oficialiuose kanaluose galėjo skelbti sukčiavimo nuorodas.
Apsaugokite web2 infrastruktūrą, susietą su web3
Išleidžiami sprendimai, skirti kovoti su sukčiavimo svetainių problema. Dauguma pagrindinių antivirusinių įrankių naudoja į juodąjį sąrašą įtrauktų svetainių bibliotekas, kad padėtų vartotojams naršyti internete. Tačiau sukčiavimo greitis ir dažnis reiškia, kad šios priemonės ne visada gali būti visiškai atnaujintos. Chromo plėtinys vadinamas Piniginės apsauga bando išspręsti šią problemą web3 erdvėje.
Piniginės apsauga CryptoSlate pasakė:
„Ne visi turi techninių žinių ir per ilgai išbuvo erdvėje... mūsų plėtinys niekada neliečia jūsų piniginės, tereikia žinoti domeną, kurį bandote aplankyti.
Įrankis pažymėjo sukčiavimo svetainės URL, paskelbtą BorisVagner Discord paskyroje, ir galėjo padėti investuotojams nuspręsti, ar jie turėtų pasitikėti nuoroda.
Tačiau net tokie įrankiai kaip šis nėra nepažeidžiami. Įmantrus sukčius teoriškai gali patekti į oficialų „Discord“ serverį, o taip pat užpulti tokią svetainę kaip „Wallet Guard“, kad ji atrodytų teisėta. Tačiau tikimasi, kad joks įrankis nebus 100% nepažeidžiamas visoms atakoms. Reikėtų skatinti bet kokius būdus, kuriais investuotojai gali sumažinti tikimybę, kad jie taps sukčiavimo aukomis.
Vis dėlto kiekviena sukčiavimo afera užpuola „blockchain“ projekto aferą, kuri ateina per web2 ryšį su „blockchain“ projektu. Pridėjus web3 funkcionalumą prie web2 technologijos, pvz., Discord, jos saugumas gali labai padidėti.
„CryptoSlate“ susisiekė su BorisVagner dėl komentaro, bet negavo atsakymo.
Šaltinis: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/