Discord gibi Web2 uygulamalarının blok zinciri projelerinin cephaneliğinde zayıf halka olduğu bir kez daha gösterildi. Bored Ape Yacht club Discord sunucusu ihlal edildikten sonra yatırımcıların hesaplarından 175'ten fazla ETH çekildi. Sadece Ocak 2022'de Yuga Labs için Sosyal Medyaya terfi eden @BorisVagner'ın Discord hesabı ihlal edildi. Saldırgan daha sonra BorisVagner'ın Yuga Labs Discord sunucusundaki resmi hesabı aracılığıyla kimlik avı bağlantıları yayınlamayı başardı.
Bağlantı, okuyucuların kimlik avı sitesini ziyaret etmesini önlemek için düzeltildi. BAYC, ilk kez bildirildikten 9 saat sonra nihayet bir açıklama yaptı belirterek,
“Discord sunucularımız bugün kısaca istismar edildi. Ekip olayı hemen yakaladı ve çözdü. Yaklaşık 200 ETH değerinde NFT etkilenmiş gibi görünüyor. Hâlâ araştırıyoruz, ancak etkilendiyseniz bize şu adresten e-posta gönderin: [e-posta korumalı]başlıklı bir kılavuz yayınladı
Açıklamada ekibin “hızlı bir şekilde ele aldığı” bildirildi ve üyeler tarafından kaybedilen toplam değeri 200 ETH olarak doğruladı. 354 bin dolar olan bugünün değerinde neredeyse hiç vakit kaybetmeden gitti. Konuyu topluluğa bildirmede aciliyet eksikliği ve duyurunun kısalığı, Yuga Labs'ın bir gönül rahatlığı unsuru olduğunu gösteriyor.
Topluluk Yöneticisi hesabının güvenliği ihlal edildi.
Göre Gaga Kalkanı, “32 #BAYC, 1 #MAYC, 2 #Otherdeed, 5 #BAKC dahil olmak üzere 1 NFT çalındı” İhlal ilk olarak OKHotshot tarafından bildirildi. tweeted, “@BorisVagner hesabını ihlal etti, bu da dolandırıcıların kimlik avı saldırılarını gerçekleştirmesine izin verdi. 145E'den fazlası çalındı.” TamamHotshot bize sadece 354 bin dolar civarında olduğunu söyledi.
“Milyonlarca gelir elde eden herhangi bir proje için uygun güvenlik uygulamaları desteklenmelidir. Özellikle proje pazarın ilk 10'undaysa. Bir güvenlik yöneticisine sahip olmamak bu riski önemli ölçüde artırır.”
OKHotshot, bir güvenlik yöneticisinin “uyuşmazlık güvenlik uygulamalarını, ekip politikasını ele alacağı ve bunların desteklendiğinden emin olacağı için” bunu engelleyebileceğine inanıyor. Birkaç örnek vermek için hiçbir ekip üyesi doğrudan mesajlarını açmamalı, bağlantılara tıklamamalı veya diğer sunuculardaki ana hesaplarını kullanmamalıdır.” Yuga Labs'ın sahip olduğu birkaç iş rolü kullanılabilir, ancak hiçbir güvenlik rolü yayında değil.
Topluluk tepkisi
Kripto topluluğu ayrıca Reddit kullanıcısı u/naji102 tarafından yayınlanan bir ileti dizisi aracılığıyla konuyla ilgili seslerini yükseltti. Kullanıcılar, resmi kaynaklardan bile gelen dolandırıcılıklardaki artış nedeniyle NFT'lere olan güvendeki düşüşü tartıştı. u/XnoonefromnowhereX, "Mesajda kırmızı bayrak olması gereken dilbilgisi hataları vardı" yorumunu yaparken, u/CrimsonFox99 empatik bir şekilde "Onları bu konuda suçlamak zor, özellikle sözde güvenilir bir kaynaktan geliyorsa" dedi.
Bir Twitter kullanıcısı OpenSea ve LooksRare'e ulaştı yalvaran "Az önce sahte bir goblin iddiasına tıkladım. 2 MAYC ve 8 havalı kedi çalındı. … lütfen yardım et. Her şeyimi çaldılar benden." Hırsızın hesaplarını dondurma girişimini destekleyen diğer kullanıcılardan aramalar geldi. Görünüşe göre ademi merkeziyetçilik yalnızca yatırımcılar merkezi desteğe ihtiyaç duyana kadar destekleniyor.
BAYC Discord'un güvenliği daha önce ihlal edildi
Bu, Discord sunucusunun ilk ziyareti değil. tehlikeye. Sunucu, Nisan 2022'de saldırıya uğradı ve MAYC #8662 çalındı. bu hikaye devam etti Daha sonra Tayvanlı pop süperstarı Jay Chou'nun 550 bin dolar değerinde çalınan NFT'nin sahibi olduğu öğrenildi. Her iki durumda da bir Discord profilinin güvenliği ihlal edildi ve saldırının resmi kanallara kimlik avı bağlantıları göndermesine izin verildi.
Web2'e bağlı web3 altyapısını koruma
Dolandırıcı web siteleri sorunuyla mücadele etmeye çalışmak için piyasaya sürülen çözümler var. Çoğu büyük antivirüs aracı, kullanıcıların internette gezinmelerine yardımcı olmak için kara listeye alınmış sitelerin kitaplıklarını kullanır. Ancak dolandırıcılıkların hızı ve sıklığı, bu araçların her zaman tamamen güncel olmayabileceği anlamına gelir. adlı bir krom uzantısı cüzdan koruması bu sorunu web3 uzayında çözmeye çalışır.
Wallet Guard CryptoSlate'e şunları söyledi:
"Herkesin teknik bir geçmişi yok ya da bu alanda çok uzun süredir bulunmuyor… uzantımız cüzdanınıza asla dokunmaz, yalnızca ziyaret etmeye çalıştığınız alan adını bilmesi gerekir."
Araç, BorisVagner'ın Discord hesabına gönderilen kimlik avı sitesinin URL'sini işaretledi ve yatırımcıların bağlantıya güvenip güvenmemeleri konusunda karar vermelerine yardımcı olabilirdi.
Ancak, bunun gibi araçlar bile yenilmez değildir. Gelişmiş bir dolandırıcı teorik olarak resmi bir Discord sunucusuna girebilir ve aynı zamanda Wallet Guard gibi bir siteye onu yasal bir site gibi göstermek için saldırabilir.” Ancak hiçbir aracın tüm saldırılara karşı %100 savunmasız olması beklenmemektedir. Yatırımcıların dolandırıcılığa kurban gitme şanslarını azaltabilecekleri herhangi bir şekilde teşvik edilmelidir.
Yine de, her kimlik avı dolandırıcılığı, blok zinciri projesine bir web2 bağlantısı aracılığıyla gelen bir blok zinciri projesi dolandırıcılığına saldırır. Discord gibi web3 teknolojisine web2 işlevselliği eklemek, güvenliğini önemli ölçüde artırabilir.
CryptoSlate yorum için BorisVagner'a ulaştı ancak yanıt alamadı.
Kaynak: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/