Web2 lietojumprogrammas, piemēram, Discord, atkal ir izrādījušies vājais posms blokķēdes projektu arsenālā. Pēc Bored Ape jahtkluba Discord servera uzlauzšanas no investoru kontiem ir izņemti vairāk nekā 175 ETH. @BorisVagner, kurš tikai 2022. gada janvārī tika paaugstināts par sociālo mediju pakalpojumā Yuga Labs, tika uzlauzts viņa Discord konts. Pēc tam uzbrucējs varēja publicēt pikšķerēšanas saites, izmantojot BorisVagnera oficiālo kontu Yuga Labs Discord serverī.
Saite ir rediģēta, lai pasargātu lasītājus no pikšķerēšanas vietnes apmeklēšanas. BAYC beidzot izdeva paziņojumu 9 stundas pēc tam, kad tas pirmo reizi tika ziņots norādot,
"Mūsu Discord serveri šodien tika īslaicīgi izmantoti. Komanda to ātri noķēra un risināja. Šķiet, ka ir ietekmēti aptuveni 200 ETH vērti NFT. Mēs joprojām veicam izmeklēšanu, taču, ja tas tika ietekmēts, rakstiet mums uz e-pasta adresi [e-pasts aizsargāts]"
Paziņojumā tika ziņots, ka komanda "ātri to risināja" un apstiprināja, ka dalībnieku kopējā zaudētā vērtība ir 200 ETH. Pēc šodienas vērtības, kas ir 354 XNUMX USD, ir pazuduši gandrīz pavisam īsā laikā. Steidzības trūkums ziņot par šo jautājumu savai sabiedrībai un paziņojuma īsums liecina par Yuga Labs pašapmierinātību.
Kopienas pārvaldnieka konts ir apdraudēts.
Saskaņā ar Peckshield, "Tika nozagti 32 NFT, tostarp 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" Par pārkāpumu sākotnēji ziņoja OKHotshot, kas tweeted, “@BorisVagner tika uzlauzts viņa konts, kas ļāva krāpniekiem veikt pikšķerēšanas uzbrukumu. Tika nozagts vairāk nekā 145 E. OKHotshot mums tikai teica, ka tas ir aptuveni 354 XNUMX USD.
“Ikvienam projektam, kas gūst miljonus, ir jāievēro atbilstoša drošības prakse. It īpaši, ja projekts ir tirgus top 10. Ja nav drošības menedžera, šis risks ievērojami palielinās.
OKHotshot uzskata, ka drošības vadītājs būtu varējis to novērst, jo "viņi risinās nesaskaņas ar drošības praksi, komandas politiku un pārliecinās, ka tās tiek ievērotas. Nevienam komandas dalībniekam nevajadzētu atvērt savus tiešos ziņojumus, klikšķināt uz saitēm vai izmantot savus galvenos kontus citos serveros, lai sniegtu dažus piemērus. Yuga Labs ir vairākas darba lomas ir pieejams, taču nav pieejama neviena drošības loma.
Sabiedrības reakcija
Kriptogrāfijas kopiena par šo problēmu izteicās arī Reddit lietotāja u/naji102 publicētajā pavedienā. Lietotāji apsprieda uzticības samazināšanos NFT sakarā ar krāpniecības pieaugumu, kas nāk pat no oficiāliem avotiem. u/XnoonefromnowhereX komentēja: "Ziņojumā bija gramatikas kļūdas, kurām vajadzēja būt sarkanam karogam," savukārt u/CrimsonFox99 iejūtīgi paziņoja: "Grūti viņus vainot šajā daļā, jo īpaši no it kā uzticama avota."
Kāds Twitter lietotājs sazinājās ar OpenSea un LooksRare lūdzoties “Es tikko noklikšķināju uz viltus goblinu apgalvojumu. Nozagti 2 MAYC un 8 forši kaķi. … Lūdzu, palīdziet. Viņi man nozaga visu. Zvani no citiem lietotājiem, kuri atbalstīja iniciatīvu iesaldēt zagļa kontus. Šķiet, ka bieži vien decentralizācija tiek atbalstīta tikai līdz brīdim, kad investoriem ir nepieciešams centralizēts atbalsts.
BAYC Discord tika apdraudēts iepriekš
Šī nav pirmā reize, kad tiek izmantots Discord serveris apdraudēta. Serveris tika uzlauzts 2022. gada aprīlī, un tika nozagts MAYC #8662. The stāsts turpinājās jo vēlāk kļuva zināms, ka Taivānas popmūzikas superzvaigzne Jay Chou bija nozagtā NFT 550 XNUMX USD vērtībā īpašnieks. Abos gadījumos Discord profils tika apdraudēts, ļaujot uzbrukumam publicēt pikšķerēšanas saites oficiālajos kanālos.
Web2 infrastruktūras aizsardzība, kas saistīta ar web3
Tiek izdoti risinājumi, lai mēģinātu apkarot krāpniecisko vietņu problēmu. Lielākā daļa lielāko pretvīrusu rīku izmanto melnajā sarakstā iekļauto vietņu bibliotēkas, lai palīdzētu lietotājiem pārlūkot internetu. Tomēr krāpniecības ātrums un biežums nozīmē, ka šie rīki ne vienmēr var būt pilnībā atjaunināti. Izsaukts hroma paplašinājums Maka aizsargs mēģina atrisināt šo problēmu tīmekļa 3 telpā.
Wallet Guard pastāstīja CryptoSlate:
“Ne visiem ir tehniskas zināšanas, un viņi nav bijuši šajā telpā pārāk ilgi… mūsu paplašinājums nekad nepieskaras jūsu makam, tam ir jāzina tikai domēns, kuru mēģināt apmeklēt.”
Šis rīks atzīmēja BorisVagnera Discord kontā ievietotās pikšķerēšanas vietnes URL, un tas varēja palīdzēt investoriem izlemt, vai viņiem vajadzētu uzticēties saitei.
Tomēr pat tādi rīki kā šis nav neievainojami. Sarežģīts krāpnieks teorētiski varētu iekļūt oficiālajā Discord serverī, vienlaikus uzbrūkot tādai vietnei kā Wallet Guard, lai tā izskatītos kā likumīga vietne. Tomēr nav paredzams, ka neviens rīks nebūs 100% neaizsargāts pret visiem uzbrukumiem. Jāveicina jebkurš veids, kā ieguldītāji var samazināt iespēju kļūt par krāpšanas upuriem.
Tomēr katra pikšķerēšanas krāpniecība uzbrūk blokķēdes projekta krāpniecībai, kas notiek, izmantojot Web2 savienojumu ar blokķēdes projektu. Web3 funkcionalitātes pievienošana web2 tehnoloģijai, piemēram, Discord, varētu ievērojami palielināt tās drošību.
CryptoSlate sazinājās ar BorisVāgneru, lai saņemtu komentāru, bet nesaņēma atbildi.
Avots: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/