DiscordなどのWeb2アプリケーションは、ブロックチェーンプロジェクトの武器の弱点であることが再び示されています。 Bored Ape YachtクラブのDiscordサーバーが侵害された後、175を超えるETHが投資家のアカウントから排出されました。 2022年XNUMX月にYugaLabsのソーシャルメディアに昇格しただけの@BorisVagnerは、Discordアカウントを侵害されました。 その後、攻撃者はBorisVagnerの公式アカウントを介してYugaLabsDiscordサーバーにフィッシングリンクを投稿することができました。
リンクは、読者がフィッシングサイトにアクセスするのを防ぐために編集されています。 BAYCは、最初に報告されてから9時間後にようやく声明を発表しました。 述べる
「私たちのDiscordサーバーは今日簡単に悪用されました。 チームはそれをすばやく把握して対処しました。 約200ETH相当のNFTが影響を受けたようです。 まだ調査中ですが、影響を受けた場合は、次のアドレスにメールでお問い合わせください。 [メール保護]
声明は、チームが「迅速に対処」し、メンバーが失った合計値が200ETHであることを確認したと報告しました。 今日の価値である$354kは、ほとんどあっという間になくなってしまいました。 コミュニティに問題を報告する緊急性の欠如と発表の簡潔さは、YugaLabsによる自己満足の要素を示唆しています。
コミュニティマネージャーのアカウントが侵害されました。
による ペックシールド、「32つの#BAYC、1つの#MAYC、2つの#Otherdeed、5つの#BAKCを含む1のNFTが盗まれました」違反は最初にOKHotshotによって報告されました。 ツイート、「@ BorisVagnerはアカウントを侵害され、詐欺師がフィッシング攻撃を実行できるようになりました。 145E以上が盗まれました。」 OKホットショット 約354万XNUMXドルだと独占的に言った。
「何百万もの収益を上げているプロジェクトでは、適切なセキュリティ慣行を守る必要があります。 特にプロジェクトが市場のトップ10に入っている場合。 セキュリティマネージャーがいないと、そのリスクが大幅に高まります。」
OKHotshotは、セキュリティマネージャーがこれを防ぐことができたと考えています。「彼らは不和なセキュリティ慣行、チームポリシーを処理し、それらが守られていることを確認します。 チームメンバーは、いくつかの例を示すために、ダイレクトメッセージを開いたり、リンクをクリックしたり、他のサーバーのメインアカウントを使用したりしないでください。」 ユガラボは いくつかの職務 利用可能ですが、セキュリティの役割はありません。
コミュニティの反応
暗号コミュニティはまた、Redditユーザーu/naji102によって投稿されたスレッドを通じてこの問題について声を上げました。 ユーザーは、公式の情報源からの詐欺の増加によるNFTの信頼の低下について話し合いました。 u / XnoonefromnowhereXは、「メッセージには、危険信号であるはずの文法エラーがありました」とコメントしましたが、u / CrimsonFox99は、「特に信頼できるソースからのものであるため、その部分でそれらを非難するのは難しい」と共感しました。
TwitterユーザーがOpenSeaとLooksRareに連絡を取りました 訴える 「私は偽のゴブリンの主張をクリックしただけです。 2匹のMAYCと8匹のかっこいい猫が盗まれました。 … 助けてください。 彼らは私からすべてを盗んだ。」 泥棒のアカウントを凍結するイニシアチブをサポートしている他のユーザーからの電話がありました。 多くの場合、分散化は投資家が集中型のサポートを必要とするまでしかサポートされていないようです。
BAYCDiscordは以前に妥協しました
Discordサーバーが初めてではありません 損害を受けた。 サーバーは2022年8662月にハッキングされ、MAYC#XNUMXが盗まれました。 The 物語は続く 後になって、台湾のポップスのスーパースター、ジェイ・チョウが550万ドル相当の盗まれたNFTの所有者であることが知られるようになりました。 どちらの場合もDiscordプロファイルが侵害され、攻撃がフィッシングリンクを公式チャネルに投稿できるようになりました。
web2に関連付けられたweb3インフラストラクチャを保護する
詐欺サイトの問題と戦うためにリリースされているソリューションがあります。 ほとんどの主要なウイルス対策ツールは、ブラックリストに登録されたサイトのライブラリを使用して、ユーザーがインターネットを閲覧するのを支援します。 ただし、詐欺の速度と頻度は、これらのツールが常に完全に最新であるとは限らないことを意味します。 と呼ばれるクローム拡張 ウォレットガード web3スペースでこの問題を解決しようとします。
WalletGuardはCryptoSlateに次のように語っています。
「誰もが技術的なバックグラウンドを持っているわけではなく、スペースの周りに長くいるわけでもありません…私たちの拡張機能はあなたの財布に触れることはなく、あなたが訪問しようとしているドメインを知る必要があるだけです。」
このツールは、BorisVagnerのDiscordアカウントに投稿されたフィッシングサイトのURLにフラグを付け、投資家がリンクを信頼するかどうかを決定するのに役立つ可能性があります。
ただし、このようなツールでさえ無敵ではありません。 洗練された詐欺師は、理論的には公式のDiscordサーバーに侵入すると同時に、WalletGuardなどのサイトを攻撃して合法的なサイトのように見せかけることができます。」 ただし、すべての攻撃に対して100%無防備であるとは期待されないツールはありません。 投資家が詐欺の犠牲になる可能性を減らすことができる方法は、奨励されるべきです。
それでも、各フィッシング詐欺は、ブロックチェーンプロジェクトへのWeb2接続を介して発生するブロックチェーンプロジェクト詐欺を攻撃します。 Discordなどのweb3テクノロジーにweb2機能を追加すると、セキュリティが劇的に向上する可能性があります。
CryptoSlate BorisVagnerにコメントを求めましたが、返答はありませんでした。
ソース:https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/