Aplikacionet Web2 si Discord janë treguar sërish të jenë lidhja e dobët në arsenalin e projekteve blockchain. Mbi 175 ETH janë kulluar nga llogaritë e investitorëve pasi serveri Discord i klubit Bored Ape Yacht u shkel. @BorisVagner, i cili u promovua vetëm në Media Sociale për Yuga Labs në janar 2022, iu thye llogaria e tij Discord. Sulmuesi më pas ishte në gjendje të postonte lidhje phishing përmes llogarisë zyrtare të BorisVagner në serverin Yuga Labs Discord.
Lidhja është redaktuar për të mbrojtur lexuesit nga vizita e sajtit të phishing. BAYC më në fund lëshoi një deklaratë 9 orë pasi u raportua për herë të parë duke deklaruar,
“Serverët tanë Discord u shfrytëzuan shkurtimisht sot. Ekipi e kapi dhe e trajtoi shpejt. Rreth 200 NFT me vlerë ETH duket se janë ndikuar. Ne jemi ende duke hetuar, por nëse jeni ndikuar, na dërgoni email në [email mbrojtur]"
Deklarata raportoi se ekipi "e adresoi shpejt" dhe konfirmoi vlerën totale të humbur nga anëtarët si 200 ETH. Me vlerën e sotme që është 354 mijë dollarë janë zhdukur pothuajse në asnjë kohë. Mungesa e urgjencës në raportimin e çështjes në komunitetin e saj dhe shkurtësia e njoftimit sugjeron një element vetëkënaqësie nga Yuga Labs.
Llogaria e menaxherit të komunitetit është komprometuar.
Sipas Peckshield, “U vodhën 32 NFT, duke përfshirë 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC” Shkelja u raportua fillimisht nga OKHotshot, i cili tweeted, “@BorisVagner iu shkel llogaria e tij, gjë që i lejoi mashtruesit të ekzekutonin sulmin e tyre të phishing. Mbi 145E in u vodh.” OKHotshot na tha ekskluzivisht se është rreth 354 mijë dollarë.
“Praktikat e duhura të sigurisë duhet të respektohen për çdo projekt që sjell miliona të ardhura. Sidomos nëse projekti është në top 10 të tregut. Mungesa e një menaxheri sigurie e rrit ndjeshëm këtë rrezik.”
OKHotshot beson se një menaxher sigurie mund ta kishte parandaluar këtë pasi "ata do të trajtonin praktikat e mosmarrëveshjeve të sigurisë, politikën e ekipit dhe do të siguroheshin që ato të respektohen. Asnjë anëtar i ekipit nuk duhet të ketë mesazhet e tij të drejtpërdrejta të hapura, të klikojë në lidhje ose të përdorë llogaritë e tij kryesore në serverë të tjerë vetëm për të dhënë disa shembuj.” Yuga Labs kanë disa role pune në dispozicion, por asnjë rol sigurie nuk është i hapur.
Reagimi i komunitetit
Komuniteti i kriptove ishte gjithashtu i zëshëm për këtë çështje përmes një teme të postuar nga përdoruesi i Reddit u/naji102. Përdoruesit diskutuan rënien e besimit për NFT-të për shkak të rritjes së mashtrimeve që vijnë edhe nga burime zyrtare. u/XnoonefromnowhereX komentoi, "Mesazhi kishte gabime gramatikore që duhet të ishin një flamur i kuq", ndërsa u/CrimsonFox99 deklaroi me empati, "Vështirë t'i fajësosh ata në atë pjesë, veçanërisht nga një burim i supozuar i besuar".
Një përdorues i Twitter kontaktoi OpenSea dhe LooksRare duke u lutur “Sapo klikova një pretendim të rremë për goblin. Janë vjedhur 2 MAYC dhe 8 mace të lezetshme. … ju lutem ndihmë. Ata më vodhën gjithçka.” Thirrjet erdhën nga përdorues të tjerë që mbështesnin nismën për të ngrirë llogaritë e hajdutit. Duket se shpesh decentralizimi mbështetet vetëm derisa investitorët të kenë nevojë për mbështetje të centralizuar.
BAYC Mosmarrëveshja ishte komprometuar më parë
Kjo nuk është hera e parë që serveri Discord ka qenë komprometuar. Serveri u hakua në Prill 2022, me MAYC #8662 të vjedhur. Të historia vazhdoi pasi më vonë u bë e ditur se superylli i popit tajvanez Jay Chou ishte pronar i NFT-së së vjedhur me vlerë 550 mijë dollarë. Një profil Discord u komprometua në të dyja rastet, duke lejuar që sulmi të postonte lidhje phishing në kanalet zyrtare.
Mbrojtja e infrastrukturës web2 e lidhur me web3
Ka zgjidhje që po lëshohen për të luftuar problemin e faqeve të internetit të mashtrimit. Shumica e mjeteve kryesore antivirus përdorin bibliotekat e faqeve në listën e zezë për të ndihmuar përdoruesit në shfletimin e internetit. Megjithatë, shpejtësia dhe shpeshtësia e mashtrimeve do të thotë që këto mjete mund të mos jenë gjithmonë plotësisht të përditësuara. Një shtesë kromi e quajtur Roje e portofolit përpiqet ta zgjidhë këtë problem në hapësirën web3.
Garda e portofolit i tha CryptoSlate:
“Jo të gjithë kanë një sfond teknik dhe as kanë qenë shumë gjatë në hapësirë… zgjerimi ynë nuk e prek kurrë portofolin tuaj, por vetëm duhet të dijë domenin që po përpiqeni të vizitoni.”
Mjeti shënoi URL-në e faqes së phishing të postuar në llogarinë Discord të BorisVagner dhe mund të kishte ndihmuar investitorët të vendosnin nëse duhet t'i besonin lidhjes.
Megjithatë, edhe mjete të tilla si kjo nuk janë të paprekshme. Një mashtrues i sofistikuar teorikisht mund të hyjë në një server zyrtar Discord, ndërsa gjithashtu sulmon një sajt si Wallet Guard për ta bërë atë të duket si një sajt i ligjshëm.” Megjithatë, asnjë mjet nuk pritet të jetë 100% i paprekshëm ndaj të gjitha sulmeve. Duhet të inkurajohet çdo mënyrë se si investitorët mund të zvogëlojnë mundësinë që ata të bien viktimë e mashtrimit.
Megjithatë, çdo mashtrim phishing sulmon një mashtrim të projektit blockchain, ai vjen përmes një lidhjeje web2 me projektin blockchain. Shtimi i funksionalitetit web3 në teknologjinë web2 si Discord mund të rrisë në mënyrë dramatike sigurinë e saj.
CryptoSlate kontaktoi BorisVagner për koment, por nuk mori një përgjigje.
Burimi: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/