Les applications Web2 telles que Discord se sont à nouveau révélées être le maillon faible de l'arsenal des projets blockchain. Plus de 175 ETH ont été drainés des comptes des investisseurs après la violation du serveur Discord du Bored Ape Yacht Club. @BorisVagner, qui n'a été promu aux médias sociaux pour Yuga Labs qu'en janvier 2022, a vu son compte Discord piraté. L'attaquant a ensuite pu publier des liens de phishing via le compte officiel de BorisVagner sur le serveur Discord de Yuga Labs.
Le lien a été rédigé pour empêcher les lecteurs de visiter le site de phishing. BAYC a finalement publié une déclaration 9 heures après avoir été signalée pour la première fois déclarant,
"Nos serveurs Discord ont été brièvement exploités aujourd'hui. L'équipe l'a attrapé et l'a traité rapidement. Environ 200 ETH de NFT semblent avoir été touchés. Nous enquêtons toujours, mais si vous avez été touché, envoyez-nous un e-mail à [email protected] »
Le communiqué rapporte que l'équipe "y a répondu rapidement" et a confirmé que la valeur totale perdue par les membres était de 200 ETH. À la valeur actuelle, 354 XNUMX $ ont disparu en un rien de temps. Le manque d'urgence à signaler l'affaire à sa communauté et la brièveté de l'annonce suggèrent un élément de complaisance de la part de Yuga Labs.
Compte de gestionnaire de communauté compromis.
Selon Bouclier, "32 NFT ont été volés, dont 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" La violation a été signalée initialement par OKHotshot, qui tweeté, "@BorisVagner a vu son compte piraté, ce qui a permis aux escrocs d'exécuter leur attaque de phishing. Plus de 145 E ont été volés. OKHotshot nous a dit en exclusivité qu'il s'agissait d'environ 354 XNUMX $.
«Des pratiques de sécurité appropriées doivent être maintenues pour tout projet générant des millions de revenus. Surtout si le projet est dans le top 10 du marché. Ne pas avoir de responsable de la sécurité augmente considérablement ce risque. »
OKHotshot pense qu'un responsable de la sécurité aurait pu empêcher cela car "il gérerait les pratiques de sécurité discordantes, la politique d'équipe et s'assurerait qu'elles sont respectées. Aucun membre de l'équipe ne doit ouvrir ses messages directs, cliquer sur des liens ou utiliser son compte principal sur d'autres serveurs, pour ne donner que quelques exemples. » Yuga Labs a plusieurs postes disponible, mais aucun rôle de sécurité n'est actif.
Réaction de la communauté
La communauté crypto a également parlé du problème via un fil de discussion publié par l'utilisateur Reddit u/naji102. Les utilisateurs ont discuté de la baisse de confiance envers les NFT en raison de l'augmentation des escroqueries qui proviennent même de sources officielles. u/XnoonefromnowhereX a commenté : "Le message contenait des erreurs grammaticales qui auraient dû être un drapeau rouge", tandis que u/CrimsonFox99 a déclaré avec empathie : "Difficile de les blâmer pour cette partie, en particulier venant d'une source supposée fiable."
Un utilisateur de Twitter a contacté OpenSea et LooksRare plaidoirie « Je viens de cliquer sur une fausse déclaration de gobelin. 2 MAYC et 8 chats sympas ont été volés. … s'il vous plaît aidez-moi. Ils m'ont tout volé. » Des appels sont venus d'autres utilisateurs soutenant l'initiative de geler les comptes du voleur. Il semble que souvent la décentralisation n'est soutenue que jusqu'à ce que les investisseurs aient besoin d'un soutien centralisé.
BAYC Discord compromis avant
Ce n'est pas la première fois que le serveur Discord est compromis. Le serveur a été piraté en avril 2022, avec le vol de MAYC #8662. La l'histoire continue car il est devenu plus tard connu que la superstar de la pop taïwanaise Jay Chou était le propriétaire du NFT volé d'une valeur de 550 XNUMX $. Un profil Discord a été compromis à ces deux occasions, permettant à l'attaque de publier des liens de phishing sur les canaux officiels.
Protection de l'infrastructure web2 liée au web3
Il existe des solutions publiées pour tenter de lutter contre le problème des sites Web frauduleux. La plupart des principaux outils antivirus utilisent des bibliothèques de sites sur liste noire pour aider les utilisateurs à naviguer sur Internet. Cependant, la vitesse et la fréquence des escroqueries signifient que ces outils ne sont pas toujours complètement à jour. Une extension chromée appelée Porte-monnaie Garde tente de résoudre ce problème dans l'espace web3.
Wallet Guard a déclaré à CryptoSlate :
"Tout le monde n'a pas une formation technique ni n'est dans l'espace depuis trop longtemps... notre extension ne touche jamais votre portefeuille, elle a seulement besoin de connaître le domaine que vous essayez de visiter."
L'outil a signalé l'URL du site de phishing publié sur le compte Discord de BorisVagner et aurait pu aider les investisseurs à décider s'ils devaient faire confiance au lien.
Cependant, même des outils comme celui-ci ne sont pas invulnérables. Un escroc sophistiqué pourrait théoriquement entrer dans un serveur Discord officiel tout en attaquant un site comme Wallet Guard pour le faire apparaître comme un site légitime. Cependant, aucun outil ne devrait être 100% invulnérable à toutes les attaques. Toute manière dont les investisseurs peuvent réduire le risque qu'ils soient victimes de fraude doit être encouragée.
Pourtant, chaque escroquerie par hameçonnage attaque une escroquerie de projet blockchain, elle passe par une connexion web2 au projet blockchain. L'ajout de fonctionnalités Web3 à une technologie Web2 telle que Discord pourrait augmenter considérablement sa sécurité.
CryptoSlate a contacté BorisVagner pour un commentaire mais n'a pas reçu de réponse.
Source : https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/