יישומי Web2 כגון Discord שוב הוכחו כחוליה החלשה בארסנל פרויקטי הבלוקצ'יין. מעל 175 ETH נוקזו מחשבונות המשקיעים לאחר ששרת Bored Ape Yacht club Discord נפרץ. @BorisVagner, שקודם לרשתות חברתיות עבור Yuga Labs רק בינואר 2022, נפרץ חשבון Discord שלו. לאחר מכן הצליח התוקף לפרסם קישורי פישינג דרך החשבון הרשמי של BorisVagner בשרת Yuga Labs Discord.
הקישור הותקן כדי להגן על הקוראים מביקור באתר הדיוג. BAYC פרסמה לבסוף הצהרה 9 שעות לאחר הדיווח הראשון וציין,
"שרתי הדיסקורד שלנו נוצלו לזמן קצר היום. הצוות תפס וטיפל בזה במהירות. נראה כי הושפעו כ-200 ETH של NFTs. אנחנו עדיין חוקרים, אבל אם הושפעת, שלח לנו דוא"ל לכתובת [מוגן בדוא"ל]"
ההצהרה דיווחה שהצוות "טיפל בזה במהירות" ואישר את הערך הכולל שאבדו החברים כ-200 ETH. לפי הערך של היום זה 354 $ הלך כמעט תוך זמן קצר. חוסר הדחיפות בדיווח על הנושא לקהילה שלה וקיצור ההודעה מעידים על אלמנט של שאננות מצד Yuga Labs.
חשבון מנהל הקהילה נפרץ.
לפי שדה פיקסל, "נגנבו 32 NFTs, כולל 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" הפרצה דווחה תחילה על ידי OKHotshot, אשר צייץ, "@BorisVagner פרץ את החשבון שלו, מה שאפשר לרמאים לבצע את התקפת הדיוג שלהם. יותר מ-145E נגנבו." OKHotshot אמר לנו באופן בלעדי שזה בסביבות 354 אלף דולר.
"יש לשמור על נוהלי אבטחה נאותים עבור כל פרויקט שמכניס מיליונים. במיוחד אם הפרויקט נמצא בטופ 10 של השוק. אי קיום מנהל אבטחה מגדיל את הסיכון הזה משמעותית".
OKHotshot מאמין שמנהל אבטחה יכול היה למנוע זאת מכיוון ש"הם יטפלו בפרקטיקות האבטחה של הדיסקורד, במדיניות הצוות, ויוודאו שהם מתקיימים. אף חבר צוות לא אמור לפתוח את ההודעות הישירות שלו, ללחוץ על קישורים או להשתמש בחשבונות הראשיים שלו בשרתים אחרים רק כדי לתת כמה דוגמאות." למעבדות יוגה יש מספר תפקידי עבודה זמין, אך אין תפקידי אבטחה פעילים.
תגובה קהילתית
גם קהילת הקריפטו הייתה קולנית לגבי הנושא באמצעות שרשור שפרסם משתמש Reddit u/naji102. משתמשים דנו בירידה באמון עבור NFTs עקב הגידול בהונאות שאפילו מגיעות ממקורות רשמיים. u/XnoonefromnowhereX הגיב, "בהודעה היו שגיאות דקדוקיות שהיו אמורות להיות דגל אדום," בעוד u/CrimsonFox99 הצהיר באמפתיה, "קשה להאשים אותם בחלק הזה, במיוחד שהגיע ממקור מהימן כביכול."
משתמש טוויטר פנה אל OpenSea ו-LooksRare מתחנן "רק לחצתי על תביעה מזויפת של גובלין. 2 MAYC ו-8 חתולים מגניבים נגנבו. … אנא עזור. גנבו לי הכל". שיחות הגיעו ממשתמשים אחרים שתומכים ביוזמה להקפיא את חשבונותיו של הגנב. נראה שלעתים קרובות ביזור נתמך רק עד שהמשקיעים זקוקים לתמיכה ריכוזית.
BAYC Discord התפשר בעבר
זו לא הפעם הראשונה ששרת Discord נמצא נפגע. השרת נפרץ באפריל 2022, כאשר MAYC #8662 נגנב. ה הסיפור המשיך כפי שנודע מאוחר יותר שכוכב הפופ הטיוואני ג'יי צ'ו היה הבעלים של ה-NFT הגנוב בשווי 550 אלף דולר. פרופיל Discord נפגע בשתי ההזדמנויות, מה שאפשר למתקפה לפרסם קישורי פישינג בערוצים הרשמיים.
הגנה על תשתית web2 הקשורה ל-web3
ישנם פתרונות שמשתחררים כדי לנסות להילחם בבעיית אתרי הונאה. רוב כלי האנטי-וירוס העיקריים משתמשים בספריות של אתרים ברשימה השחורה כדי לסייע למשתמשים בגלישה באינטרנט. עם זאת, המהירות והתדירות של הונאות אומרות שהכלים הללו לא תמיד מעודכנים לחלוטין. סיומת כרום בשם שומר ארנק מנסה לפתור בעיה זו במרחב web3.
Wallet Guard אמר ל- CryptoSlate:
"לא לכולם יש רקע טכני וגם לא נמצא בחלל יותר מדי זמן... התוסף שלנו אף פעם לא נוגע בארנק שלך, הוא רק צריך לדעת את הדומיין שאתה מנסה לבקר בו."
הכלי סימן את כתובת ה-URL של אתר הדיוג שפורסמה בחשבון Discord של BorisVagner ויכול היה לסייע למשקיעים להחליט אם עליהם לסמוך על הקישור.
עם זאת, אפילו כלים כגון זה אינם בלתי פגיעים. רמאי מתוחכם יכול באופן תיאורטי להיכנס לשרת דיסקורד רשמי ובמקביל לתקוף אתר כמו Wallet Guard כדי לגרום לו להיראות כאתר חוקי". עם זאת, אף כלי לא צפוי להיות 100% בלתי פגיע לכל ההתקפות. יש לעודד כל דרך שבה משקיעים יכולים להפחית את הסיכוי שייפלו קורבן להונאה.
ובכל זאת, כל תרמית דיוג תוקפת הונאת פרויקט בלוקצ'יין היא מגיעה דרך חיבור web2 לפרויקט הבלוקצ'יין. הוספת פונקציונליות web3 לטכנולוגיית web2 כגון Discord עשויה להגביר באופן דרמטי את האבטחה שלה.
CryptoSlate פנה אל בוריס וגנר לתגובה אך לא קיבל תגובה.
מקור: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/