Aplikasi Web2 seperti Discord sekali lagi telah ditunjukkan sebagai pautan lemah dalam senjata projek blockchain. Lebih 175 ETH telah dikeluarkan daripada akaun pelabur selepas pelayan Discord kelab Kapal Layar Bored Ape dilanggar. @BorisVagner, yang hanya dinaikkan pangkat ke Media Sosial untuk Yuga Labs pada Januari 2022, telah dilanggar akaun Discordnya. Penyerang kemudiannya dapat menyiarkan pautan pancingan data melalui akaun rasmi BorisVagner pada pelayan Yuga Labs Discord.
Pautan telah disunting untuk melindungi pembaca daripada melawat tapak pancingan data. BAYC akhirnya mengeluarkan kenyataan 9 jam selepas ia pertama kali dilaporkan menyatakan,
"Pelayan Discord kami dieksploitasi secara ringkas hari ini. Pasukan itu menangkap dan menanganinya dengan cepat. Kira-kira 200 ETH nilai NFT nampaknya telah terjejas. Kami masih menyiasat, tetapi jika anda terjejas, e-mel kami di [e-mel dilindungi]"
Kenyataan itu melaporkan bahawa pasukan itu "mengatasinya dengan cepat" dan mengesahkan jumlah nilai yang hilang oleh ahli sebagai 200 ETH. Pada nilai hari ini iaitu $354k hilang dalam masa yang singkat. Kekurangan kesegeraan dalam melaporkan perkara itu kepada komunitinya dan singkatnya pengumuman menunjukkan unsur rasa puas hati oleh Yuga Labs.
Akaun Pengurus Komuniti terjejas.
Menurut Perlindungan Pecks, "32 NFT telah dicuri, termasuk 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" Pelanggaran itu dilaporkan pada mulanya oleh OKhotshot, yang tweeted, “@BorisVagner telah menceroboh akaunnya, yang membenarkan penipu melaksanakan serangan pancingan data mereka. Lebih 145E dalam telah dicuri.” OKhotshot memberitahu kami secara eksklusif bahawa ia adalah sekitar $354k.
“Amalan keselamatan yang betul harus ditegakkan untuk mana-mana projek yang menghasilkan berjuta-juta hasil. Lebih-lebih lagi jika projek itu berada dalam 10 teratas pasaran. Tidak mempunyai pengurus keselamatan meningkatkan risiko itu dengan ketara.”
OKhotshot percaya pengurus keselamatan boleh menghalang perkara ini kerana "mereka akan mengendalikan amalan keselamatan perselisihan, dasar pasukan dan memastikan ia ditegakkan. Tiada ahli pasukan harus membuka mesej langsung mereka, mengklik pada pautan atau menggunakan akaun utama mereka pada pelayan lain hanya untuk memberikan beberapa contoh." Yuga Labs ada beberapa peranan pekerjaan tersedia, tetapi tiada peranan keselamatan disiarkan.
Reaksi masyarakat
Komuniti kripto juga lantang mengenai isu itu melalui rangkaian yang disiarkan oleh pengguna Reddit u/naji102. Pengguna membincangkan penurunan kepercayaan untuk NFT disebabkan peningkatan dalam penipuan yang bahkan datang dari sumber rasmi. u/XnoonefromnowhereX mengulas, "Mesej itu mempunyai kesilapan tatabahasa yang sepatutnya menjadi bendera merah," manakala u/CrimsonFox99 dengan empati menyatakan, "Sukar untuk menyalahkan mereka di bahagian itu, terutamanya datang dari sumber yang dipercayai."
Seorang pengguna Twitter menghubungi OpenSea dan LooksRare merayu “Saya baru sahaja mengklik tuntutan jembalang palsu. 2 MAYC dan 8 kucing sejuk telah dicuri. … tolong bantu. Mereka mencuri segala-galanya daripada saya.” Panggilan datang daripada pengguna lain yang menyokong inisiatif untuk membekukan akaun pencuri. Nampaknya selalunya desentralisasi hanya disokong sehingga pelabur memerlukan sokongan berpusat.
BAYC Discord telah terjejas sebelum ini
Ini bukan kali pertama pelayan Discord dikompromikan. Pelayan telah digodam pada April 2022, dengan MAYC #8662 telah dicuri. The cerita bersambung kerana kemudiannya diketahui bahawa bintang pop Taiwan Jay Chou adalah pemilik NFT yang dicuri bernilai $550k. Profil Discord telah dikompromi pada kedua-dua keadaan, membenarkan serangan itu menyiarkan pautan pancingan data ke saluran rasmi.
Melindungi infrastruktur web2 yang terikat dengan web3
Terdapat penyelesaian yang dikeluarkan untuk cuba memerangi masalah laman web penipuan. Kebanyakan alat antivirus utama menggunakan perpustakaan tapak yang disenaraihitamkan untuk membantu pengguna melayari internet. Walau bagaimanapun, kelajuan dan kekerapan penipuan bermakna alat ini mungkin tidak sentiasa terkini sepenuhnya. Sambungan krom dipanggil Pengawal Dompet cuba menyelesaikan masalah ini dalam ruang web3.
Wallet Guard memberitahu CryptoSlate:
“Bukan semua orang mempunyai latar belakang teknikal dan tidak terlalu lama berada di kawasan itu… sambungan kami tidak pernah menyentuh dompet anda, ia hanya perlu mengetahui domain yang anda cuba lawati.”
Alat itu membenderakan URL tapak pancingan data yang disiarkan ke akaun Discord BorisVagner dan boleh membantu pelabur dalam memutuskan sama ada mereka harus mempercayai pautan itu.
Walau bagaimanapun, walaupun alat seperti ini tidak kebal. Penipu yang canggih secara teorinya boleh masuk ke pelayan Discord rasmi sambil turut menyerang tapak seperti Wallet Guard untuk menjadikannya kelihatan sebagai tapak yang sah." Walau bagaimanapun, tiada alat dijangka 100% kebal terhadap semua serangan. Sebarang cara pelabur boleh mengurangkan peluang mereka menjadi mangsa penipuan harus digalakkan.
Namun, setiap penipuan pancingan data menyerang penipuan projek blockchain ia datang melalui sambungan web2 ke projek blockchain. Menambah fungsi web3 pada teknologi web2 seperti Discord boleh meningkatkan keselamatannya secara mendadak.
CryptoSlate menghubungi BorisVagner untuk mendapatkan komen tetapi tidak menerima jawapan.
Sumber: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/