- سرور رسمی دیسکورد BAYC اوایل امروز هک شد.
- گزارش ها نشان می دهد که یک MAYC به سرقت رفته است.
- سوء استفاده مشابهی در چندین کانال اختلاف NFT دیگر کشف شده است.
بر اساس اطلاعات به دست آمده از مدیریت تایید شده توییتر BAYC، کانال Discord جامعه برای مدت کوتاهی در معرض خطر قرار گرفت. در حال حاضر تنها یک MAYC به سرقت رفته است.
جزئیات اکسپلویت
هکرها اوایل امروز موفق شدند یک ابزار فروش بلیط را در کانال ناسازگاری BAYC که مسئول تأیید و اعلانهای کاربر است به خطر بیاندازند. با این کار، کلاهبرداران پیامهایی را ارسال کردند و از کاربران درخواست کردند که NFTهای خود را برای پاداش در توکن بومی یوگا لبس، ApeCoin به اشتراک بگذارند.
@zachxbt، یک محقق روی زنجیره، ابتدا گزارش هک توییتر، نشان داد که یک MAYC به سرقت رفته است. دقایقی بعد، هک توسط BAYC با استفاده از دسته رسمی توییتر تایید شد. را صدای جیر جیر خواندن، "ایمن بمان. فعلاً از هیچ Discord چیزی نبرید. یک وب هوک در Discord ما برای مدت کوتاهی در معرض خطر قرار گرفت. ما فوراً آن را گرفتیم، اما لطفاً بدانید: ما هیچگونه ضرابخانههای رادارگریز/ایرپاپ و غیره در اول آوریل انجام نمیدهیم. سایر اختلافات نیز در حال حاضر مورد حمله قرار میگیرند."
متخصص امنیت و کد نویسی Discord که با نام مستعار Serpent شناخته می شود، از آن زمان کلاه خود را در حلقه انداخته تا به BAYC کمک کند تا کنترل کامل سرور خود را به دست آورد. چند ساعت پس از تایید هک، سرپنت به اشتراک گذاشته شده کدی برای کمک به توسعه دهندگان برای خلاص شدن از شر باگ وارد شده توسط هکرها.
همانطور که مشخص شد، کانال اختلاف BAYC تنها کانالی نبود که مورد هدف هکرها قرار گرفت. @zachxbt تایید کرد که همین اکسپلویت در بسیاری از کانالهای NFT دیگر، از جمله سرورهای Doodles، Shamanz و Nyoki وجود دارد. در بررسی وبسایتهای فیشینگ، @zachxbt افشا که بسیار شبیه بودند و به احتمال زیاد تلاش یک گروه واحد بود.
بهروزرسانیها از تاپیک @zachxbt فاش کردن که سرویس میزبانی وب Namecheap وب سایت های شناسایی شده را به حالت تعلیق درآورده است. آدرس استفاده شده توسط هکرها نیز در Etherscan شناسایی و پرچم گذاری شده است. BAYC هنوز تایید نکرده است که آیا تهدید خنثی شده است.
هک های Discord
هک Discord در فضای NFT بسیار رایج شده است زیرا این پلتفرم از بسیاری از جوامع NFT پشتیبانی می کند. اغلب مورد هدف قرار می گیرد. Magus Devon، یکی از مدیران انجمن ارزهای دیجیتال، در پاسخ به اتفاقات امروزی، در توییتی از نارساییهای امنیتی متعدد Discord ابراز ناامیدی کرد. دوون صدای جیر جیر خواندن:
واقعاً از امنیت وحشتناک اختلاف و فقدان ابزارهای ارائه شده به مدیران سرور برای مدیریت متنفرم. عجیب است که ما باید دائماً به همه این رباتهای شخص ثالث تکیه کنیم تا بتوانیم سطح اولیه محافظت از کاربران خود را داشته باشیم.»
در ماه دسامبر، یک هک اختلاف باعث شد که هکرها با استفاده از یک ترفند فیشینگ، با 7000 سولانا به ارزش 1.3 میلیون دلار در آن زمان مقابله کنند. هکرها به سرور Discord of Monkey Kingdom، مجموعه NFT که توسط کارآفرینان هنگ کنگی راه اندازی شده بود، نفوذ کردند. باید به دارندگان NFT یادآوری شود که پروژه ها برای آنها پیام مستقیم ارسال نمی کنند و مراقب کلیک کردن روی پیوندهای ارسال شده برای آنها باشند.
منبع: https://zycrypto.com/bored-ape-yacht-clubs-discord-briefly-compromised/