تم إثبات أن تطبيقات Web2 مثل Discord مرة أخرى هي الحلقة الضعيفة في ترسانة مشاريع blockchain. تم استنزاف أكثر من 175 ETH من حسابات المستثمرين بعد اختراق خادم Discord لنادي Bored Ape Yacht. BorisVagner ، الذي تمت ترقيته إلى وسائل التواصل الاجتماعي لـ Yuga Labs في يناير 2022 ، تم اختراق حسابه على Discord. تمكن المهاجم بعد ذلك من نشر روابط تصيد عبر حساب BorisVagner الرسمي على خادم Yuga Labs Discord.
تم تنقيح الرابط لحماية القراء من زيارة موقع التصيد. أصدرت BAYC أخيرًا بيانًا بعد 9 ساعات من الإبلاغ عنه لأول مرة قائلا:
"تم استغلال خوادم Discord الخاصة بنا لفترة وجيزة اليوم. قام الفريق بإمساكها وتناولها بسرعة. يبدو أن حوالي 200 ETH من NFTs قد تأثرت. ما زلنا نحقق في الأمر ، ولكن إذا تأثرت ، راسلنا عبر البريد الإلكتروني على [البريد الإلكتروني محمي]"
وذكر البيان أن الفريق "تعامل مع الأمر بسرعة" وأكد أن القيمة الإجمالية التي خسرها الأعضاء هي 200 ETH. بقيمة اليوم ، ذهب 354 ألف دولار تقريبًا في أي وقت من الأوقات على الإطلاق. يشير الافتقار إلى الإلحاح في إبلاغ المجتمع بالمسألة وإيجاز الإعلان إلى عنصر من الرضا عن النفس من قبل Yuga Labs.
تعرض حساب مدير المجتمع للخطر.
وفقًا بيك شيلد، "تم سرقة 32 NFT ، بما في ذلك 1 #BAYC ، 2 #MAYC ، 5 #Otherdeed ، 1 #BAKC" تم الإبلاغ عن الخرق في البداية بواسطة OKHotshot ، الذي تويتد، "BorisVagner حصل على اختراق لحسابه ، مما سمح للمحتالين بتنفيذ هجوم التصيد الاحتيالي. تمت سرقة أكثر من 145E في. " OKHotshot أخبرنا حصريًا أنه يبلغ حوالي 354 ألف دولار.
"يجب التمسك بالممارسات الأمنية المناسبة لأي مشروع يحقق إيرادات بملايين. خاصة إذا كان المشروع في المراكز العشرة الأولى في السوق. عدم وجود مدير أمن يزيد من هذه المخاطر بشكل كبير ".
تعتقد OKHotshot أن مدير الأمن كان بإمكانه منع ذلك لأنه "سيتعامل مع ممارسات أمان الخلاف وسياسة الفريق والتأكد من دعمها. يجب ألا يفتح أي عضو من أعضاء الفريق رسائله المباشرة ، أو ينقر على الروابط أو يستخدم حساباته الرئيسية على خوادم أخرى فقط لإعطاء بعض الأمثلة ". تمتلك Yuga Labs عدة أدوار وظيفية متاح ، ولكن لا توجد أدوار أمان مباشرة.
رد فعل المجتمع
كان مجتمع التشفير أيضًا صريحًا حول المشكلة من خلال سلسلة رسائل نشرها مستخدم Reddit u / naji102. ناقش المستخدمون انخفاض الثقة في NFTs بسبب زيادة عمليات الاحتيال التي تأتي حتى من مصادر رسمية. علّق u / XnoonefromnowhereX قائلاً: "كانت الرسالة تحتوي على أخطاء نحوية يجب أن تكون علامة حمراء" ، بينما صرح u / CrimsonFox99 بشكل تعاطفي ، "من الصعب إلقاء اللوم عليهم في هذا الجزء ، خاصةً من مصدر موثوق مفترض."
وصل مستخدم Twitter إلى OpenSea و LooksRare مرافعة "لقد نقرت للتو على مطالبة عفريت مزيفة. تم سرقة 2 MAYC و 8 قطط باردة. ... الرجاء المساعدة. لقد سرقوا مني كل شيء ". جاءت مكالمات من مستخدمين آخرين يدعمون مبادرة تجميد حسابات السارق. يبدو أنه غالبًا ما يتم دعم اللامركزية فقط حتى يحتاج المستثمرون إلى دعم مركزي.
تم اختراق BAYC Discord من قبل
هذه ليست المرة الأولى التي يكون فيها خادم Discord تسوية. تم اختراق الخادم في أبريل 2022 ، مع سرقة MAYC # 8662. ال استمرت القصة كما أصبح معروفًا لاحقًا أن نجم البوب التايواني جاي تشو كان مالك NFT المسروق بقيمة 550 ألف دولار. تم اختراق ملف تعريف Discord في كلتا المناسبتين ، مما سمح للهجوم بنشر روابط التصيد الاحتيالي على القنوات الرسمية.
حماية البنية التحتية للويب 2 المرتبطة بـ web3
هناك حلول يتم إصدارها لمحاولة مكافحة مشكلة مواقع الويب المخادعة. تستخدم معظم أدوات مكافحة الفيروسات الرئيسية مكتبات المواقع المدرجة في القائمة السوداء لمساعدة المستخدمين في تصفح الإنترنت. ومع ذلك ، فإن سرعة وتكرار عمليات الاحتيال تعني أن هذه الأدوات قد لا تكون محدثة بالكامل دائمًا. ملحق الكروم يسمى حارس المحفظة يحاول حل هذه المشكلة في مساحة web3.
قال Wallet Guard لـ CryptoSlate:
"ليس كل شخص لديه خلفية تقنية ولم يكن موجودًا في المساحة لفترة طويلة جدًا ... لا تلمس امتدادنا محفظتك أبدًا ، فهي تحتاج فقط إلى معرفة المجال الذي تحاول زيارته."
قامت الأداة بوضع علامة على عنوان URL الخاص بموقع التصيد الذي تم نشره في حساب BorisVagner's Discord ويمكن أن تساعد المستثمرين في تقرير ما إذا كان ينبغي عليهم الوثوق بالرابط.
ومع ذلك ، حتى أدوات مثل هذه ليست معرضة للخطر. يمكن للمخادع المتطور أن يدخل نظريًا إلى خادم Discord رسمي بينما يهاجم أيضًا موقعًا مثل Wallet Guard لجعله يبدو موقعًا شرعيًا ". ومع ذلك ، لا يُتوقع أن تكون أي أداة غير معرضة بنسبة 100٪ لجميع الهجمات. يجب تشجيع أي طريقة يمكن للمستثمرين من خلالها تقليل فرصة وقوعهم ضحية للاحتيال.
ومع ذلك ، فإن كل عملية احتيال تصيد تهاجم عملية احتيال لمشروع blockchain تأتي من خلال اتصال web2 بمشروع blockchain. يمكن أن تؤدي إضافة وظائف web3 إلى تقنية web2 مثل Discord إلى زيادة أمانها بشكل كبير.
CryptoSlate تواصلت مع BorisVagner للتعليق لكن لم تتلق ردًا.
المصدر: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/