- Pelayan perselisihan rasmi BAYC telah digodam awal hari ini.
- Laporan mendedahkan bahawa satu MAYC telah dicuri.
- Eksploitasi serupa telah ditemui pada beberapa saluran perselisihan NFT lain.
Menurut maklumat daripada pemegang Twitter yang disahkan BAYC, saluran Discord komuniti telah terjejas seketika. Pada masa ini, hanya satu MAYC telah dicuri.
Butiran Eksploitasi
Penggodam awal hari ini berjaya menjejaskan alat tiket pada saluran perselisihan BAYC yang bertanggungjawab untuk pengesahan dan pemberitahuan pengguna. Dengan ini, penipu menghantar mesej meminta pengguna mempertaruhkan NFT mereka untuk ganjaran dalam token asli Yuga Labs, ApeCoin.
@zachxbt, penyiasat rantaian, pertama dilaporkan hack di Twitter, mendedahkan bahawa satu MAYC telah dicuri. Beberapa minit kemudian, penggodaman itu disahkan oleh BAYC menggunakan pemegang Twitter rasmi mereka; yang tweet baca, "KEKAL SELAMAT. Jangan membuat apa-apa daripada mana-mana Discord sekarang. Webhook dalam Discord kami telah terjejas seketika. Kami menangkapnya dengan serta-merta tetapi harap maklum: kami tidak melakukan sebarang mints/airdrop April Fools dan lain-lain. Perselisihan lain juga sedang diserang sekarang.”
Pakar keselamatan dan pengekodan Discord, yang menggunakan nama samaran Serpent, telah melemparkan topinya ke dalam gelanggang untuk membantu BAYC mendapatkan semula kawalan penuh ke atas pelayan mereka. Beberapa jam selepas pengesahan hack, Serpent dikongsi kod untuk membantu pembangun menyingkirkan pepijat yang dimasukkan oleh penggodam.
Ternyata, saluran perselisihan BAYC bukanlah satu-satunya yang disasarkan oleh penggodam. @zachxbt mengesahkan bahawa eksploitasi yang sama sedang dimainkan pada banyak saluran NFT lain, termasuk Doodles, Shamanz dan pelayan Nyoki. Semasa meneliti tapak web pancingan data, @zachxbt didedahkan bahawa mereka sangat serupa dan kemungkinan besar usaha satu kumpulan.
Kemas kini daripada utas @zachxbt mendedahkan perkhidmatan pengehosan web Namecheap telah menggantung tapak web yang dikenal pasti. Alamat yang digunakan oleh penggodam juga telah dikenal pasti dan dibenderakan pada Etherscan. BAYC masih belum mengesahkan sama ada ancaman itu telah dinetralkan.
Hacks Discord
Penggodaman perselisihan telah menjadi sangat biasa dalam ruang NFT kerana platform menyokong banyak komuniti NFT; ia sering disasarkan. Magus Devon, ketua komuniti crypto, menyatakan kekecewaan terhadap banyak ketidakcukupan keselamatan Discord dalam tweet sebagai tindak balas kepada kejadian hari ini. milik Devon tweet baca:
“Sangat membenci keselamatan discord yang teruk dan kekurangan alatan yang disediakan kepada pentadbir pelayan untuk pengurusan. Rasanya pelik bahawa kami perlu sentiasa bergantung pada semua bot pihak ketiga ini hanya untuk mendapatkan tahap perlindungan asas untuk pengguna kami."
Pada bulan Disember, penggodam perselisihan menyaksikan penggodam menggunakan 7000 Solana bernilai kira-kira $1.3 juta pada masa itu menggunakan helah pancingan data. Penggodam melanggar pelayan Discord Monkey Kingdom, koleksi NFT yang dilancarkan oleh usahawan Hong Kong. Pemegang NFT harus diingatkan bahawa projek tidak akan menghantar mesej langsung kepada mereka dan berhati-hati dengan mengklik pautan yang dihantar kepada mereka.
Sumber: https://zycrypto.com/bored-ape-yacht-clubs-discord-briefly-compromised/