Aplicativos Web2, como o Discord, mostraram novamente ser o elo fraco no arsenal de projetos de blockchain. Mais de 175 ETH foram drenados das contas dos investidores depois que o servidor Discord do Bored Ape Yacht Club foi violado. @BorisVagner, que só foi promovido a Social Media do Yuga Labs em janeiro de 2022, teve sua conta do Discord violada. O invasor conseguiu postar links de phishing por meio da conta oficial de BorisVagner no servidor Discord do Yuga Labs.
O link foi editado para proteger os leitores de visitar o site de phishing. BAYC finalmente divulgou um comunicado 9 horas depois de ter sido relatado pela primeira vez afirmando,
“Nossos servidores Discord foram brevemente explorados hoje. A equipe pegou e resolveu rapidamente. Cerca de 200 ETH de NFTs parecem ter sido impactados. Ainda estamos investigando, mas se você foi impactado, envie-nos um e-mail para [email protegido]"
O comunicado informou que a equipe “abordou rapidamente” e confirmou o valor total perdido pelos membros como 200 ETH. No valor de hoje, isso é $ 354k perdidos em quase nenhum momento. A falta de urgência em relatar o assunto à sua comunidade e a brevidade do anúncio sugerem um elemento de complacência por parte do Yuga Labs.
Conta do Community Manager comprometida.
De acordo com o PeckShield, “32 NFTs foram roubados, incluindo 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC” A violação foi relatada inicialmente por OKHotshot, que twittou, “@BorisVagner teve sua conta violada, o que permitiu que os golpistas executassem seu ataque de phishing. Mais de 145E em foi roubado.” OKHotshot nos disse exclusivamente que é cerca de US$ 354 mil.
“Práticas de segurança adequadas devem ser mantidas para qualquer projeto que gere milhões em receita. Principalmente se o projeto estiver no top 10 do mercado. Não ter um gerente de segurança aumenta esse risco significativamente.”
OKHotshot acredita que um gerente de segurança poderia ter evitado isso, pois “eles lidariam com práticas de segurança de discórdia, política de equipe e garantiriam que fossem mantidas. Nenhum membro da equipe deve ter suas mensagens diretas abertas, clicar em links ou usar suas contas principais em outros servidores apenas para dar alguns exemplos.” Yuga Labs tem vários cargos disponível, mas nenhuma função de segurança está ativa.
Reação da comunidade
A comunidade de criptomoedas também falou sobre o problema por meio de um tópico postado pelo usuário do Reddit u/naji102. Os usuários discutiram a queda na confiança dos NFTs devido ao aumento de golpes que chegam até mesmo de fontes oficiais. u/XnoonefromnowhereX comentou: “A mensagem tinha erros gramaticais que deveriam ter sido uma bandeira vermelha”, enquanto u/CrimsonFox99 declarou com empatia: “É difícil culpá-los por essa parte, especialmente vindo de uma suposta fonte confiável”.
Um usuário do Twitter entrou em contato com OpenSea e LooksRare suplicando “Acabei de clicar em uma reivindicação goblin falsa. 2 MAYC e 8 gatos legais foram roubados. … por favor ajude. Eles roubaram tudo de mim.” Ligações vieram de outros usuários apoiando a iniciativa de congelar as contas do ladrão. Parece que muitas vezes a descentralização só é suportada até que os investidores precisem de apoio centralizado.
BAYC Discord comprometido antes
Esta não é a primeira vez que o servidor Discord foi comprometido. O servidor foi hackeado em abril de 2022, com o MAYC #8662 sendo roubado. o história continuou como mais tarde ficou conhecido que a estrela pop taiwanesa Jay Chou era o dono do NFT roubado no valor de US $ 550 mil. Um perfil do Discord foi comprometido em ambas as ocasiões, permitindo que o ataque postasse links de phishing em canais oficiais.
Protegendo a infraestrutura web2 vinculada à web3
Existem soluções sendo lançadas para tentar combater o problema dos sites fraudulentos. A maioria das principais ferramentas antivírus usa bibliotecas de sites na lista negra para ajudar os usuários a navegar na Internet. No entanto, a velocidade e a frequência dos golpes fazem com que essas ferramentas nem sempre estejam totalmente atualizadas. Uma extensão do chrome chamada Guarda de carteira tenta resolver este problema no espaço web3.
O Wallet Guard disse ao CryptoSlate:
“Nem todo mundo tem formação técnica nem está no espaço há muito tempo… nossa extensão nunca toca sua carteira, ela só precisa saber o domínio que você está tentando visitar.”
A ferramenta sinalizou o URL do site de phishing postado na conta do Discord de BorisVagner e poderia ter ajudado os investidores a decidir se deveriam confiar no link.
No entanto, mesmo ferramentas como esta não são invulneráveis. Um golpista sofisticado poderia, teoricamente, entrar em um servidor oficial do Discord enquanto também ataca um site como o Wallet Guard para fazer com que pareça um site legítimo.” No entanto, nenhuma ferramenta deve ser 100% invulnerável a todos os ataques. Qualquer forma de os investidores reduzirem a chance de serem vítimas de fraude deve ser incentivada.
Ainda assim, cada golpe de phishing ataca um golpe de projeto blockchain que vem por meio de uma conexão web2 com o projeto blockchain. Adicionar a funcionalidade web3 à tecnologia web2, como o Discord, pode aumentar drasticamente sua segurança.
CryptoSlate entrou em contato com BorisVagner para comentar, mas não recebeu uma resposta.
Fonte: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/