برنامه های Web2 مانند Discord دوباره به عنوان حلقه ضعیف در زرادخانه پروژه های بلاک چین نشان داده شده است. پس از نقض سرور Bored Ape Yacht Club Discord، بیش از 175 ETH از حساب های سرمایه گذاران تخلیه شده است. @BorisVagner که فقط در ژانویه 2022 به رسانه های اجتماعی برای آزمایشگاه های یوگا ارتقا یافت، حساب Discord وی نقض شد. سپس مهاجم توانست لینک های فیشینگ را از طریق حساب رسمی BorisVagner در سرور Yuga Labs Discord پست کند.
پیوند برای محافظت از خوانندگان از بازدید از سایت فیشینگ ویرایش شده است. BAYC سرانجام 9 ساعت پس از اولین گزارش بیانیه ای منتشر کرد بیان کردن ،
سرورهای Discord ما امروز برای مدت کوتاهی مورد سوء استفاده قرار گرفتند. تیم به سرعت آن را گرفت و به آن پرداخت. به نظر می رسد که حدود 200 NFT به ارزش ETH تحت تأثیر قرار گرفته است. ما هنوز در حال بررسی هستیم، اما اگر تحت تأثیر قرار گرفتید، به ما ایمیل بزنید [ایمیل محافظت شده]"
بیانیه گزارش داد که تیم "به سرعت به آن رسیدگی کرد" و کل ارزش از دست رفته توسط اعضا را 200 ETH تایید کرد. به ارزش امروزی که 354 هزار دلار است تقریباً در هیچ زمانی از بین رفته است. فقدان فوریت در گزارش موضوع به جامعه و مختصر بودن اعلامیه نشان دهنده یک عنصر رضایت از سوی آزمایشگاه یوگا است.
حساب مدیر انجمن به خطر افتاده است.
مطابق با میخانه، "32 NFT به سرقت رفت، از جمله 1 #BAYC، 2 #MAYC، 5 #Otherdeed، 1 #BAKC" این نقض ابتدا توسط OKHotshot گزارش شد. توییت"@BorisVagner حساب کاربری خود را نقض کرد که به کلاهبرداران اجازه داد تا حمله فیشینگ خود را انجام دهند. بیش از 145 E in دزدیده شد. OKHotshot به طور انحصاری به ما گفت که حدود 354 هزار دلار است.
«روشهای امنیتی مناسب باید برای هر پروژهای که میلیونها درآمد داشته باشد، رعایت شود. به خصوص اگر پروژه در 10 بازار برتر باشد. نداشتن مدیر امنیتی این خطر را به میزان قابل توجهی افزایش می دهد.
OKHotshot معتقد است که یک مدیر امنیتی میتوانست از این امر جلوگیری کند زیرا «آنها شیوههای امنیتی ناسازگاری، خطمشی تیم را مدیریت میکردند و مطمئن میشدند که رعایت میشوند. هیچ عضوی از تیم نباید پیامهای مستقیم خود را باز کند، روی پیوندها کلیک کند یا از حسابهای اصلی خود در سرورهای دیگر فقط برای ارائه چند مثال استفاده کند." آزمایشگاه های یوگا دارند چندین نقش شغلی در دسترس است، اما هیچ نقش امنیتی فعال نیست.
واکنش جامعه
جامعه کریپتو نیز از طریق موضوعی که توسط کاربر Reddit u/naji102 ارسال شده بود، درباره این موضوع صحبت کرد. کاربران درباره کاهش اعتماد به NFT ها به دلیل افزایش کلاهبرداری هایی که حتی از منابع رسمی می آیند بحث کردند. u/XnoonefromnowhereX اظهار داشت: «پیام دارای خطاهای گرامری بود که باید علامت قرمز میبود»، در حالی که u/CrimsonFox99 با همدلی گفت: «به سختی میتوان آنها را در آن بخش مقصر دانست، بهویژه از منبعی احتمالی مطمئن.»
یکی از کاربران توییتر با OpenSea و LooksRare تماس گرفت التماس کردن من فقط روی یک ادعای جعلی اجنه کلیک کردم. 2 MAYC و 8 گربه باحال به سرقت رفت. … لطفا کمک کنید. آنها همه چیز را از من دزدیدند.» تماسهایی از سوی دیگر کاربران دریافت شد که از ابتکار عمل برای مسدود کردن حسابهای سارق حمایت کردند. به نظر می رسد که اغلب تمرکززدایی تنها تا زمانی مورد حمایت قرار می گیرد که سرمایه گذاران به حمایت متمرکز نیاز داشته باشند.
BAYC Discord قبلاً به خطر افتاده بود
این اولین باری نیست که سرور Discord وجود دارد در معرض خطر. سرور در آوریل 2022 هک شد و MAYC #8662 به سرقت رفت. را داستان ادامه یافت همانطور که بعداً مشخص شد که سوپراستار پاپ تایوانی، جی چو، مالک NFT سرقت شده به ارزش 550 هزار دلار است. نمایه Discord در هر دو مورد به خطر افتاد و به حمله اجازه داد پیوندهای فیشینگ را در کانالهای رسمی پست کند.
حفاظت از زیرساخت های web2 مرتبط با web3
راه حل هایی برای مبارزه با مشکل وب سایت های کلاهبرداری منتشر شده است. اکثر ابزارهای آنتی ویروس اصلی از کتابخانه های سایت های لیست سیاه برای کمک به کاربران در مرور اینترنت استفاده می کنند. با این حال، سرعت و فراوانی کلاهبرداری ها به این معنی است که این ابزارها ممکن است همیشه کاملاً به روز نباشند. یک افزونه کروم به نام محافظ کیف پول سعی در حل این مشکل در فضای web3 دارد.
Wallet Guard به CryptoSlate گفت:
نه همه افراد پیشینه فنی دارند و نه برای مدت طولانی در این فضا بوده اند... برنامه افزودنی ما هرگز کیف پول شما را لمس نمی کند و فقط باید دامنه ای را که می خواهید بازدید کنید را بشناسد.
این ابزار نشانی وب سایت فیشینگ ارسال شده به حساب BorisVagner's Discord را علامت گذاری کرد و می توانست به سرمایه گذاران در تصمیم گیری در مورد اعتماد آنها به پیوند کمک کند.
با این حال، حتی ابزارهایی مانند این آسیب ناپذیر نیستند. یک کلاهبردار پیچیده از نظر تئوری می تواند وارد سرور رسمی Discord شود و در عین حال به سایتی مانند Wallet Guard حمله کند تا سایتی قانونی به نظر برسد. با این حال، انتظار نمی رود هیچ ابزاری به طور 100٪ در برابر همه حملات آسیب ناپذیر باشد. هر راهی که سرمایه گذاران بتوانند احتمال تقلب شدن آنها را کاهش دهند باید تشویق شود.
با این حال، هر کلاهبرداری فیشینگ به یک کلاهبرداری پروژه بلاک چین حمله می کند که از طریق اتصال web2 به پروژه بلاک چین انجام می شود. افزودن قابلیت web3 به فناوری web2 مانند Discord می تواند امنیت آن را به طرز چشمگیری افزایش دهد.
CryptoSlate برای اظهار نظر با BorisVagner تماس گرفت اما پاسخی دریافت نکرد.
منبع: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/