Aplikacije Web2, kot je Discord, so se ponovno izkazale za šibki člen v arzenalu projektov blockchain. Več kot 175 ETH je bilo izčrpanih z računov vlagateljev po vdoru strežnika Bored Ape Yacht club Discord. @BorisVagner, ki je bil v družbenih omrežjih za Yuga Labs napredovan šele januarja 2022, je vdrl njegov račun v Discordu. Napadalec je nato lahko objavil povezave z lažnim predstavljanjem prek BorisVagnerjevega uradnega računa na strežniku Yuga Labs Discord.
Povezava je bila odstranjena zaradi zaščite bralcev pred obiskom spletnega mesta z lažnim predstavljanjem. BAYC je končno objavil izjavo 9 ur po prvem poročanju navaja,
»Naši strežniki Discord so bili danes na kratko izkoriščeni. Ekipa je to hitro ujela in obravnavala. Zdi se, da je prizadetih okoli 200 ETH NFT-jev. Še vedno preiskujemo, a če ste bili prizadeti, nam pišite na [e-pošta zaščitena]"
Izjava je poročala, da je ekipa "hitro obravnavala" in potrdila, da je skupna vrednost, ki so jo izgubili člani, 200 ETH. Pri današnji vrednosti, ki znaša 354 $, je skoraj v hipu izginilo. Pomanjkanje nujnosti pri poročanju o zadevi svoji skupnosti in kratkost objave nakazujeta element samozadovoljstva s strani Yuga Labsa.
Račun upravitelja skupnosti je ogrožen.
Glede na Peckshield, »Ukradenih je bilo 32 NFT, vključno z 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC« Kršitev je prvotno prijavil OKHotshot, ki je tweeted, »@BorisVagner je dobil vdor v svoj račun, kar je prevarantom omogočilo, da izvedejo svoj napad z lažnim predstavljanjem. Več kot 145E in je bilo ukradenih." OKHothot nam je ekskluzivno povedal, da je okoli 354 tisoč dolarjev.
»Za vsak projekt, ki prinaša milijonske prihodke, je treba upoštevati ustrezne varnostne prakse. Še posebej, če je projekt med top 10 na trgu. Če nimate vodje varnosti, to tveganje znatno poveča."
OKHotshot verjame, da bi varnostni vodja to lahko preprečil, saj bi »upravljali z varnostnimi praksami neskladja, politiko ekipe in poskrbeli, da se spoštujejo. Noben član ekipe ne sme imeti odprtih neposrednih sporočil, klikati na povezave ali uporabljati svoje glavne račune na drugih strežnikih samo zato, da navedem nekaj primerov." Yuga Labs ima več delovnih vlog na voljo, vendar varnostne vloge niso aktivne.
Odziv skupnosti
Kriptoskupnost je o tej težavi govorila tudi prek niti, ki jo je objavil uporabnik Reddita u/naji102. Uporabniki so razpravljali o padcu zaupanja do NFT-jev zaradi povečanja prevar, ki prihajajo celo iz uradnih virov. u/XnoonefromnowhereX je komentiral: »Sporočilo je imelo slovnične napake, ki bi morale biti rdeča zastava,« medtem ko je u/CrimsonFox99 sočutno izjavil: »Težko jih je kriviti na tem delu, še posebej iz domnevnega zaupanja vrednega vira.«
Uporabnik Twitterja se je obrnil na OpenSea in LooksRare prosim »Pravkar sem kliknil lažno trditev o goblinu. Ukradena sta bila 2 MAYC in 8 kul mačk. … prosim pomagajte. Ukradli so mi vse." Prišli so klici drugih uporabnikov, ki podpirajo pobudo za zamrznitev računov tatu. Zdi se, da je decentralizacija pogosto podprta le, dokler vlagatelji ne potrebujejo centralizirane podpore.
BAYC Discord je bil prej ogrožen
To ni prvič, da je strežnik Discord ogroženo. Strežnik je bil vdrt aprila 2022, pri čemer je bil ukraden MAYC #8662. The zgodba se je nadaljevala saj je pozneje postalo znano, da je bil tajvanski pop zvezdnik Jay Chou lastnik ukradenega NFT-ja v vrednosti 550 tisoč dolarjev. Profil Discord je bil v obeh primerih ogrožen, kar je napadu omogočilo objavo povezav z lažnim predstavljanjem na uradne kanale.
Zaščita infrastrukture web2, vezane na web3
Objavljajo se rešitve za boj proti problemu spletnih mest za prevare. Večina glavnih protivirusnih orodij uporablja knjižnice spletnih mest s črne liste za pomoč uporabnikom pri brskanju po internetu. Vendar pa hitrost in pogostost prevar pomenita, da ta orodja morda niso vedno popolnoma posodobljena. Chromova razširitev, imenovana Varovalo denarnice poskuša rešiti ta problem v prostoru web3.
Wallet Guard je CryptoSlate povedal:
"Nimajo vsi tehničnega znanja in niso bili predolgo v prostoru ... naša razširitev se nikoli ne dotakne vaše denarnice, vedeti mora le domeno, ki jo poskušate obiskati."
Orodje je označilo URL spletnega mesta z lažnim predstavljanjem, objavljenega na BorisVagnerjevem računu Discord, in bi lahko vlagateljem pomagalo pri odločitvi, ali naj zaupajo povezavi.
Vendar tudi orodja, kot je to, niso neranljiva. Prefinjen prevarant bi teoretično lahko vstopil v uradni strežnik Discord, hkrati pa bi napadel tudi spletno mesto, kot je Wallet Guard, da bi se zdelo, da je zakonito spletno mesto. Vendar se ne pričakuje, da bo nobeno orodje 100-odstotno neranljivo za vse napade. Vlagatelje je treba spodbujati na kakršen koli način, da lahko zmanjšajo možnost, da postanejo žrtev goljufije.
Kljub temu vsaka prevara z lažnim predstavljanjem napade prevaro projekta blockchain, ki prihaja prek povezave web2 s projektom blockchain. Dodajanje funkcionalnosti web3 tehnologiji web2, kot je Discord, bi lahko dramatično povečalo njeno varnost.
CryptoSlate se za komentar obrnil na BorisVagnerja, vendar ni prejel odgovora.
Vir: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/