Εφαρμογές Web2 όπως το Discord έχουν και πάλι αποδειχθεί ότι είναι ο αδύναμος κρίκος στο οπλοστάσιο των έργων blockchain. Πάνω από 175 ETH έχουν αποστραγγιστεί από τους λογαριασμούς των επενδυτών μετά την παραβίαση του διακομιστή Bored Ape Yacht Club Discord. Ο @BorisVagner, ο οποίος προήχθη στα Social Media για τα Yuga Labs μόλις τον Ιανουάριο του 2022, παραβιάστηκε ο λογαριασμός του Discord. Ο εισβολέας μπόρεσε στη συνέχεια να δημοσιεύσει συνδέσμους phishing μέσω του επίσημου λογαριασμού του BorisVagner στον διακομιστή του Yuga Labs Discord.
Ο σύνδεσμος έχει τροποποιηθεί για να προστατεύει τους αναγνώστες από την επίσκεψη στον ιστότοπο ηλεκτρονικού ψαρέματος. Η BAYC εξέδωσε τελικά μια δήλωση 9 ώρες μετά την πρώτη αναφορά της δηλώνοντας,
«Οι διακομιστές μας Discord υποβλήθηκαν σε σύντομη εκμετάλλευση σήμερα. Η ομάδα έπιασε και το αντιμετώπισε γρήγορα. Περίπου 200 NFT αξίας ETH φαίνεται να έχουν επηρεαστεί. Εξακολουθούμε να ερευνούμε, αλλά αν επηρεαστήκατε, στείλτε μας email στο [προστασία μέσω email]"
Η δήλωση ανέφερε ότι η ομάδα "το αντιμετώπισε γρήγορα" και επιβεβαίωσε τη συνολική αξία που έχασαν τα μέλη ως 200 ETH. Στη σημερινή αξία που είναι 354 $ έχουν χαθεί σχεδόν σε καμία περίπτωση. Η έλλειψη επείγουσας ανάγκης για την αναφορά του θέματος στην κοινότητά της και η συντομία της ανακοίνωσης υποδηλώνουν ένα στοιχείο εφησυχασμού από τη Yuga Labs.
Ο λογαριασμός Community Manager παραβιάστηκε.
Σύμφωνα με Περικάρπιο, "Κλάπηκαν 32 NFT, συμπεριλαμβανομένων 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" Η παραβίαση αναφέρθηκε αρχικά από την OKHotshot, η οποία tweeted, «Ο @BorisVagner παραβίασε τον λογαριασμό του, κάτι που επέτρεψε στους απατεώνες να εκτελέσουν την επίθεση phishing τους. Πάνω από 145E in κλάπηκαν.” OKHotshot μας είπε αποκλειστικά ότι είναι περίπου $354.
«Θα πρέπει να τηρούνται οι κατάλληλες πρακτικές ασφάλειας για κάθε έργο που έχει έσοδα εκατομμυρίων. Ειδικά αν το έργο είναι στο top 10 της αγοράς. Η έλλειψη διαχειριστή ασφαλείας αυξάνει σημαντικά αυτόν τον κίνδυνο».
Η OKHotshot πιστεύει ότι ένας διευθυντής ασφαλείας θα μπορούσε να το είχε αποτρέψει καθώς «θα χειριζόταν τις πρακτικές ασφάλειας των διαφωνιών, την πολιτική της ομάδας και θα φρόντιζε να τηρούνται. Κανένα μέλος της ομάδας δεν πρέπει να έχει ανοιχτά τα άμεσα μηνύματά του, να κάνει κλικ σε συνδέσμους ή να χρησιμοποιεί τους κύριους λογαριασμούς του σε άλλους διακομιστές απλώς για να δώσει μερικά παραδείγματα.» Τα Yuga Labs έχουν αρκετούς ρόλους εργασίας διαθέσιμο, αλλά δεν υπάρχουν ενεργοί ρόλοι ασφαλείας.
Κοινοτική αντίδραση
Η κοινότητα κρυπτογράφησης ήταν επίσης φωνητική για το ζήτημα μέσω ενός νήματος που δημοσιεύτηκε από τον χρήστη του Reddit u/naji102. Οι χρήστες συζήτησαν την πτώση της εμπιστοσύνης για τα NFT λόγω της αύξησης των απατών που προέρχονται ακόμη και από επίσημες πηγές. Το u/XnoonefromnowhereX σχολίασε, «Το μήνυμα είχε γραμματικά λάθη που θα έπρεπε να ήταν κόκκινη σημαία», ενώ το u/CrimsonFox99 δήλωσε με ενσυναίσθηση, «Δύσκολο να τους κατηγορήσεις σε αυτό το κομμάτι, ειδικά προερχόμενο από μια υποτιθέμενη αξιόπιστη πηγή».
Ένας χρήστης του Twitter επικοινώνησε με το OpenSea και το LooksRare υπεράσπιση «Μόλις έκανα κλικ σε έναν ψεύτικο ισχυρισμό για καλικάντζαρους. Κλάπηκαν 2 MAYC και 8 δροσερές γάτες. … Παρακαλώ βοηθήστε. Μου έκλεψαν τα πάντα». Ήρθαν κλήσεις από άλλους χρήστες που υποστήριζαν την πρωτοβουλία να παγώσει τους λογαριασμούς του κλέφτη. Φαίνεται ότι συχνά η αποκέντρωση υποστηρίζεται μόνο έως ότου οι επενδυτές χρειαστούν κεντρική υποστήριξη.
Το BAYC Discord συμβιβάστηκε στο παρελθόν
Δεν είναι η πρώτη φορά που λειτουργεί ο διακομιστής Discord συμβιβασμός. Ο διακομιστής παραβιάστηκε τον Απρίλιο του 2022, με κλοπή του MAYC #8662. ο η ιστορία συνεχίστηκε όπως αργότερα έγινε γνωστό ότι ο Ταϊβανέζος σούπερ σταρ της ποπ Jay Chou ήταν ο ιδιοκτήτης του κλεμμένου NFT αξίας 550 χιλιάδων δολαρίων. Ένα προφίλ Discord παραβιάστηκε και στις δύο περιπτώσεις, επιτρέποντας στην επίθεση να δημοσιεύει συνδέσμους phishing σε επίσημα κανάλια.
Προστασία της υποδομής web2 που συνδέεται με το web3
Υπάρχουν λύσεις που κυκλοφορούν για την προσπάθεια καταπολέμησης του προβλήματος των ιστότοπων απάτης. Τα περισσότερα σημαντικά εργαλεία προστασίας από ιούς χρησιμοποιούν βιβλιοθήκες ιστότοπων στη μαύρη λίστα για να βοηθήσουν τους χρήστες να περιηγηθούν στο Διαδίκτυο. Ωστόσο, η ταχύτητα και η συχνότητα των απατών σημαίνει ότι αυτά τα εργαλεία μπορεί να μην είναι πάντα πλήρως ενημερωμένα. Μια επέκταση chrome ονομάζεται Φρουρός πορτοφολιού προσπαθεί να λύσει αυτό το πρόβλημα στον χώρο web3.
Ο Φρουρός του Πορτοφολιού είπε στο CryptoSlate:
"Δεν έχουν όλοι τεχνικό υπόβαθρο ούτε έχουν περάσει πολύ καιρό στο χώρο… η επέκτασή μας δεν αγγίζει ποτέ το πορτοφόλι σας, χρειάζεται μόνο να γνωρίζει τον τομέα που προσπαθείτε να επισκεφτείτε."
Το εργαλείο επισήμανε τη διεύθυνση URL του ιστότοπου ψαρέματος που δημοσιεύτηκε στον λογαριασμό Discord του BorisVagner και θα μπορούσε να βοηθήσει τους επενδυτές να αποφασίσουν εάν θα έπρεπε να εμπιστευτούν τον σύνδεσμο.
Ωστόσο, ακόμη και εργαλεία όπως αυτό δεν είναι άτρωτα. Ένας εξελιγμένος απατεώνας θα μπορούσε θεωρητικά να μπει σε έναν επίσημο διακομιστή Discord, ενώ επίσης να επιτεθεί σε έναν ιστότοπο όπως το Wallet Guard για να τον κάνει να φαίνεται ως νόμιμος ιστότοπος." Ωστόσο, κανένα εργαλείο δεν αναμένεται να είναι 100% άτρωτο σε όλες τις επιθέσεις. Θα πρέπει να ενθαρρύνεται κάθε τρόπος με τον οποίο οι επενδυτές μπορούν να μειώσουν την πιθανότητα να πέσουν θύματα απάτης.
Ωστόσο, κάθε απάτη phishing επιτίθεται σε μια απάτη έργου blockchain και έρχεται μέσω μιας σύνδεσης web2 με το έργο blockchain. Η προσθήκη λειτουργικότητας web3 σε τεχνολογία web2 όπως το Discord θα μπορούσε να αυξήσει δραματικά την ασφάλειά της.
CryptoSlate επικοινώνησε με τον BorisVagner για σχόλιο, αλλά δεν έλαβε απάντηση.
Πηγή: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/