Web2-Anwendungen wie Discord haben sich erneut als Schwachstelle im Arsenal von Blockchain-Projekten erwiesen. Über 175 ETH wurden von den Konten der Investoren abgezogen, nachdem der Discord-Server des Bored Ape Yacht Clubs verletzt wurde. @BorisVagner, der erst im Januar 2022 für Yuga Labs zu Social Media befördert wurde, hatte einen Verstoß gegen seinen Discord-Account. Der Angreifer konnte dann über den offiziellen Account von BorisVagner auf dem Discord-Server von Yuga Labs Phishing-Links posten.
Der Link wurde redigiert, um Leser vor dem Besuch der Phishing-Site zu schützen. BAYC veröffentlichte schließlich 9 Stunden nach der ersten Meldung eine Erklärung angeben,
„Unsere Discord-Server wurden heute kurzzeitig ausgenutzt. Das Team hat es schnell erkannt und behoben. NFTs im Wert von etwa 200 ETH scheinen betroffen zu sein. Wir untersuchen immer noch, aber wenn Sie betroffen waren, senden Sie uns eine E-Mail an [E-Mail geschützt] "
Die Erklärung berichtete, dass das Team „es schnell angegangen“ sei und den Gesamtwert, den die Mitglieder verloren hätten, mit 200 ETH bestätigt habe. Beim heutigen Wert sind das 354 Dollar in kürzester Zeit weg. Die mangelnde Dringlichkeit bei der Meldung der Angelegenheit an die Community und die Kürze der Ankündigung lassen auf ein Element der Selbstzufriedenheit von Yuga Labs schließen.
Community Manager-Konto kompromittiert.
Laut Peckschild, „32 NFTs wurden gestohlen, darunter 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC“ Der Verstoß wurde ursprünglich von OKHotshot gemeldet, der twitterte, „Bei @BorisVagner wurde sein Konto gehackt, wodurch die Betrüger ihren Phishing-Angriff ausführen konnten. Über 145 Euro wurden gestohlen.“ OKHotshot sagte uns exklusiv, dass es um 354 $ geht.
„Angemessene Sicherheitspraktiken sollten für jedes Projekt mit Millioneneinnahmen aufrechterhalten werden. Vor allem, wenn das Projekt zu den Top 10 des Marktes gehört. Das Fehlen eines Sicherheitsmanagers erhöht dieses Risiko erheblich.“
OKHotshot glaubt, dass ein Sicherheitsmanager dies hätte verhindern können, da „sie mit Sicherheitspraktiken und Teamrichtlinien von Discord umgehen und sicherstellen würden, dass sie eingehalten werden. Kein Teammitglied sollte seine Direktnachrichten geöffnet haben, auf Links klicken oder seine Hauptkonten auf anderen Servern verwenden, um nur ein paar Beispiele zu nennen.“ Yuga Labs haben mehrere Jobrollen verfügbar, aber es sind keine Sicherheitsrollen aktiv.
Reaktion der Gemeinschaft
Die Krypto-Community äußerte sich auch lautstark über das Problem durch einen Thread, der vom Reddit-Benutzer u/naji102 gepostet wurde. Benutzer diskutierten den Vertrauensverlust in NFTs aufgrund der Zunahme von Betrug, der sogar aus offiziellen Quellen stammt. u/XnoonefromnowhereX kommentierte: „Die Nachricht enthielt grammatikalische Fehler, die ein Warnsignal hätten sein sollen“, während u/CrimsonFox99 einfühlsam feststellten: „In diesem Teil ist es schwer, ihnen die Schuld zu geben, insbesondere wenn sie aus einer angeblich vertrauenswürdigen Quelle stammen.“
Ein Twitter-Nutzer wandte sich an OpenSea und LooksRare Bitten „Ich habe gerade auf eine gefälschte Goblin-Behauptung geklickt. 2 MAYC und 8 coole Katzen wurden gestohlen. … bitte helft mit. Sie haben mir alles gestohlen.“ Es kamen Anrufe von anderen Benutzern, die die Initiative unterstützten, die Konten des Diebes einzufrieren. Es scheint, dass die Dezentralisierung oft nur so lange unterstützt wird, bis Investoren eine zentrale Unterstützung benötigen.
BAYC Discord wurde zuvor kompromittiert
Dies ist nicht das erste Mal, dass der Discord-Server dabei ist kompromittiert. Der Server wurde im April 2022 gehackt, wobei MAYC #8662 gestohlen wurde. Das Geschichte fortgesetzt wie später bekannt wurde, dass der taiwanesische Pop-Superstar Jay Chou der Besitzer des gestohlenen NFT im Wert von 550 Dollar war. Bei beiden Gelegenheiten wurde ein Discord-Profil kompromittiert, sodass der Angriff Phishing-Links auf offiziellen Kanälen posten konnte.
Schutz der an web2 gebundenen web3-Infrastruktur
Es werden Lösungen veröffentlicht, um zu versuchen, das Problem von betrügerischen Websites zu bekämpfen. Die meisten großen Antivirus-Tools verwenden Bibliotheken von Websites auf der schwarzen Liste, um Benutzern beim Surfen im Internet zu helfen. Die Geschwindigkeit und Häufigkeit von Betrug bedeutet jedoch, dass diese Tools möglicherweise nicht immer auf dem neuesten Stand sind. Eine Chrome-Erweiterung namens Brieftaschenschutz versucht, dieses Problem im Web3-Raum zu lösen.
Wallet Guard sagte gegenüber CryptoSlate:
„Nicht jeder hat einen technischen Hintergrund oder ist zu lange in diesem Bereich unterwegs … unsere Erweiterung berührt nie Ihren Geldbeutel, sie muss nur die Domain kennen, die Sie besuchen möchten.“
Das Tool kennzeichnete die URL der Phishing-Site, die auf BorisVagners Discord-Konto gepostet wurde, und hätte Investoren bei der Entscheidung helfen können, ob sie dem Link vertrauen sollten.
Allerdings sind auch solche Tools nicht unverwundbar. Ein ausgeklügelter Betrüger könnte theoretisch in einen offiziellen Discord-Server eindringen und gleichzeitig eine Website wie Wallet Guard angreifen, um sie als legitime Website erscheinen zu lassen.“ Es wird jedoch erwartet, dass kein Tool zu 100 % gegen alle Angriffe unverwundbar ist. Jede Art und Weise, wie Anleger das Risiko verringern können, Opfer von Betrug zu werden, sollte ermutigt werden.
Dennoch greift jeder Phishing-Betrug einen Blockchain-Projekt-Betrug an, der über eine Web2-Verbindung zum Blockchain-Projekt erfolgt. Das Hinzufügen von web3-Funktionalität zu web2-Technologie wie Discord könnte ihre Sicherheit dramatisch erhöhen.
CryptoSlate hat BorisVagner um einen Kommentar gebeten, aber keine Antwort erhalten.
Quelle: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/