Web2 Applikatiounen wéi Discord goufen erëm gewisen als de schwaache Link am Arsenal vu Blockchain Projeten. Iwwer 175 ETH gouf vun den Investisseuren hir Konten drainéiert nodeems de Bored Ape Yacht Club Discord Server verletzt gouf. @BorisVagner, deen nëmmen am Januar 2022 op Social Media fir Yuga Labs gefördert gouf, hat säin Discord Kont verletzt. Den Ugräifer konnt duerno Phishing Links iwwer dem BorisVagner säin offiziellen Kont um Yuga Labs Discord Server posten.
De Link gouf redaktéiert fir d'Lieser ze schützen géint de Phishing Site ze besichen. BAYC huet endlech eng Ausso verëffentlecht 9 Stonnen nodeems et fir d'éischt gemellt gouf behaapt,
"Eis Discord Servere goufen haut kuerz exploitéiert. D'Equipe huet et séier gepackt an adresséiert. Ongeféier 200 ETH Wäert vun NFTs schéngen beaflosst ze sinn. Mir ënnersichen nach ëmmer, awer wann Dir beaflosst sidd, E-Mail eis op [Email geschützt]"
D'Ausso bericht datt d'Team "séier adresséiert" an de Gesamtwäert vun de Memberen als 200 ETH bestätegt. Am Wäert vun haut ass dat $ 354k a bal keng Zäit fortgaang. De Mangel un Dringendes beim Bericht vun der Matière zu senger Gemeinschaft an der Kuerzegkeet vun der Ukënnegung suggeréiert en Element vun der Kompatibilitéit vu Yuga Labs.
Community Manager Kont kompromittéiert.
Entspriechend zu Peckschëld, "32 NFTs goufen geklaut, dorënner 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" D'Verstouss gouf am Ufank vum OKHotshot gemellt, deen twittert huet, "@BorisVagner krut säi Kont verletzt, wat d'Scammers hir Phishingattack ausféieren. Iwwer 145 E gouf geklaut. OKHotshot sot eis exklusiv datt et ëm $ 354k ass.
"Recht Sécherheetspraxis solle gehale ginn fir all Projet deen Millioune Recetten mécht. Besonnesch wann de Projet an den Top 10 vum Maart ass. Net e Sécherheetsmanager ze hunn erhéicht dee Risiko wesentlech.
OKHotshot mengt datt e Sécherheetsmanager dëst kéint verhënnert hunn, well "si géifen Discord Sécherheetspraktiken, Teampolitik handhaben a sécherstellen datt se agehale ginn. Keen Teammember sollt hir Direktnoriichten opmaachen, op Linken klicken oder hir Haaptkonten op anere Server benotzen fir nëmmen e puer Beispiller ze ginn. Yuga Laboe hunn puer Aarbecht Rollen sinn, mee keng Sécherheet Rollen sinn liewen.
Gemeinschaftsreaktioun
D'Krypto Gemeinschaft war och vokal iwwer dëst Thema duerch e Fuedem gepost vum Reddit Benotzer u/naji102. D'Benotzer hunn de Réckgang am Vertrauen fir NFTs diskutéiert wéinst der Erhéijung vun de Scams déi souguer aus offiziellen Quelle kommen. u/XnoonefromnowhereX kommentéiert, "De Message hat grammatesch Feeler, déi e roude Fändel sollte sinn", wärend u/CrimsonFox99 empathesch gesot huet, "Schwiereg hinnen op deem Deel ze blaméieren, besonnesch aus enger vermeintlecher vertrauter Quell.
En Twitter Benotzer erreecht OpenSea a LooksRare plädéieren "Ech hunn just eng falsch Goblin Fuerderung geklickt. 2 MAYC an 8 cool Kazen goufen geklaut. ... weg hëllefen. Si hunn mir alles geklaut." Uruff koume vun anere Benotzer, déi d'Initiativ ënnerstëtzen fir dem Déif seng Konten ze afréieren. Et schéngt, datt dacks Dezentraliséierung nëmmen ënnerstëtzt gëtt bis Investisseuren zentraliséiert Ënnerstëtzung brauchen.
BAYC Discord kompromittéiert virun
Dëst ass net déi éischte Kéier datt den Discord Server war kompromittéiert sinn. De Server gouf am Abrëll 2022 gehackt, mam MAYC #8662 gouf geklaut. Déi Geschicht weider wéi et spéider bekannt gouf datt den taiwanesche Pop-Superstar Jay Chou de Besëtzer vum geklauten NFT am Wäert vun $ 550k war. En Discord Profil gouf op béide Geleeënheeten kompromittéiert, wat den Attack erlaabt fir Phishing Links op offiziell Kanäl ze posten.
Schützen Web2 Infrastruktur verbonne mat Web3
Et gi Léisunge verëffentlecht fir ze probéieren de Problem vu Scam Websäiten ze bekämpfen. Déi meescht gréisser Antivirus Tools benotze Bibliothéike vu Blacklisted Siten fir Benotzer ze hëllefen beim Surfen um Internet. Wéi och ëmmer, d'Geschwindegkeet an d'Frequenz vun de Scams bedeit datt dës Tools vläicht net ëmmer komplett aktuell sinn. Eng Chrome Extensioun genannt Portemonnaie Gard probéiert dëse Problem am Web3 Raum ze léisen.
Portemonnaie Guard sot CryptoSlate:
"Net jiddereen huet en techneschen Hannergrond an ass och net ze laang ronderëm de Raum ... eis Extensioun beréiert ni Äre Portemonnaie, et brauch nëmmen d'Domain ze kennen déi Dir probéiert ze besichen."
D'Tool markéiert d'URL vun der Phishing-Site op dem BorisVagner's Discord Kont gepost a konnt Investisseuren gehollef hunn ze entscheeden ob se de Link sollten trauen.
Wéi och ëmmer, och Tools wéi dëst sinn net onschëlleg. E raffinéierte Scammer kéint theoretesch an en offiziellen Discord Server erakommen, wärend och e Site wéi Wallet Guard attackéiert fir datt et e legitime Site schéngt. Wéi och ëmmer, keen Tool gëtt erwaart 100% onschëlleg fir all Attacken ze sinn. All Manéier Investisseuren kënnen d'Chance vun hinnen Affer ze Bedruch reduzéieren soll encouragéiert ginn.
Trotzdem attackéiert all Phishing Scam e Blockchain Projet Scam et kënnt duerch eng Web2 Verbindung zum Blockchain Projet. Web3 Funktionalitéit zu Web2 Technologie bäizefügen wéi Discord kéint seng Sécherheet dramatesch erhéijen.
CryptoSlate erreecht de BorisVagner fir Kommentar awer krut keng Äntwert.
Quell: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/