Máy chủ Bored Ape Yacht Club Discord bị vi phạm gây thiệt hại 200 ETH, 32 NFT
-
Người quản lý cộng đồng BAYC đã báo cáo rằng tài khoản Discord của anh ấy bị vi phạm dẫn đến việc tặng quà lừa đảo được đăng trên BAYC Discord chính thức.
Các ứng dụng Web2 như Discord một lần nữa được chứng minh là liên kết yếu trong kho dự án blockchain. Hơn 175 ETH đã bị rút khỏi tài khoản của các nhà đầu tư sau khi máy chủ Discord của Bored Ape Yacht Club bị vi phạm.
@BorisVagner, người mới chỉ được thăng chức lên Truyền thông xã hội cho Yuga Labs vào tháng 1 năm 2022, đã bị vi phạm tài khoản Discord. Sau đó, kẻ tấn công có thể đăng các liên kết lừa đảo qua tài khoản chính thức của BorisVagner trên máy chủ Yuga Labs Discord.
Liên kết đã được chỉnh sửa để bảo vệ người đọc khỏi truy cập trang web lừa đảo. BAYC cuối cùng đã đưa ra một tuyên bố 9 giờ sau khi lần đầu tiên được báo cáo rằng,
“Các máy chủ Discord của chúng tôi đã được khai thác trong thời gian ngắn ngày hôm nay. Nhóm nghiên cứu đã nắm bắt và giải quyết nó một cách nhanh chóng. Khoảng 200 ETH trị giá NFT dường như đã bị ảnh hưởng. Chúng tôi vẫn đang điều tra, nhưng nếu bạn bị ảnh hưởng, hãy gửi email cho chúng tôi theo địa chỉ discord@yugalabs.io.”
Tuyên bố báo cáo rằng nhóm đã “giải quyết vấn đề nhanh chóng” và xác nhận tổng giá trị mà các thành viên bị mất là 200 ETH. Ở thời điểm hiện tại, giá trị đó là 354 nghìn đô la đã biến mất gần như không có thời gian. Sự thiếu khẩn trương trong việc báo cáo vấn đề với cộng đồng và sự ngắn gọn của thông báo cho thấy một yếu tố tự mãn của Yuga Labs.
Tài khoản người quản lý cộng đồng bị xâm phạm.
Theo Peckshield, “32 NFT đã bị đánh cắp, bao gồm 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC”. Vụ vi phạm được báo cáo ban đầu bởi OKHotshot, người đã tweet, “@BorisVagner đã bị xâm phạm tài khoản thực hiện cuộc tấn công lừa đảo của họ. Hơn 145E trong đã bị đánh cắp.” OKHotshot đã nói với chúng tôi rằng nó có giá khoảng $ 354k.
“Các biện pháp bảo mật phù hợp cần được duy trì cho bất kỳ dự án nào đạt doanh thu hàng triệu USD. Đặc biệt nếu dự án nằm trong top 10 của thị trường. Không có người quản lý bảo mật làm tăng nguy cơ đó lên đáng kể”.
OKHotshot tin rằng một người quản lý bảo mật có thể đã ngăn chặn điều này vì “họ sẽ xử lý các hoạt động bảo mật bất hòa, chính sách nhóm và đảm bảo rằng chúng được duy trì. Không thành viên nào trong nhóm được mở tin nhắn trực tiếp, nhấp vào liên kết hoặc sử dụng tài khoản chính của họ trên các máy chủ khác chỉ để đưa ra một vài ví dụ”. Yuga Labs có sẵn một số vai trò công việc, nhưng không có vai trò bảo mật nào hoạt động.
Phản ứng của cộng đồng
Cộng đồng tiền điện tử cũng đã lên tiếng về vấn đề này thông qua một chủ đề được đăng bởi người dùng Reddit u/naji102. Người dùng đã thảo luận về sự sụt giảm niềm tin đối với NFT do sự gia tăng các trò gian lận thậm chí đến từ các nguồn chính thức.
u/XnoonefromnowhereX nhận xét, “Thông báo có lỗi ngữ pháp đáng ra phải là một lá cờ đỏ”, trong khi u/CrimsonFox99 nói một cách đồng cảm, “Khó có thể đổ lỗi cho họ về phần đó, đặc biệt là đến từ một nguồn đáng tin cậy.”
Một người dùng Twitter đã liên hệ với OpenSea và LookRare để cầu xin “Tôi vừa nhấp vào một yêu cầu giả mạo yêu tinh. 2 MAYC và 8 con mèo ngầu đã bị đánh cắp. … xin vui lòng giúp đỡ. Họ đã đánh cắp mọi thứ của tôi”. Các cuộc gọi đến từ những người dùng khác ủng hộ sáng kiến đóng băng tài khoản của kẻ trộm. Có vẻ như thường thì phân quyền chỉ được hỗ trợ cho đến khi các nhà đầu tư cần hỗ trợ tập trung.
BAYC Discord đã bị xâm phạm trước đó
Đây không phải là lần đầu tiên máy chủ Discord bị xâm nhập. Máy chủ đã bị tấn công vào tháng 4 năm 2022, với MAYC #8662 đã bị đánh cắp. Câu chuyện tiếp tục khi sau đó người ta biết rằng siêu sao nhạc pop Đài Loan Châu Kiệt Luân là chủ sở hữu của chiếc NFT bị đánh cắp trị giá 550 nghìn đô la. Một hồ sơ Discord đã bị xâm phạm trong cả hai trường hợp, cho phép cuộc tấn công đăng các liên kết lừa đảo lên các kênh chính thức.
Bảo vệ cơ sở hạ tầng web2 gắn liền với web3
Có những giải pháp đang được phát hành để cố gắng chống lại vấn đề của các trang web lừa đảo. Hầu hết các công cụ chống vi-rút chính sử dụng thư viện của các trang web nằm trong danh sách đen để hỗ trợ người dùng duyệt Internet.
Tuy nhiên, tốc độ và tần suất của các trò gian lận có nghĩa là những công cụ này có thể không phải lúc nào cũng được cập nhật hoàn toàn. Tiện ích mở rộng chrome có tên là Wallet Guard cố gắng giải quyết vấn đề này trong không gian web3.
Wallet Guard nói:
“Không phải ai cũng có kiến thức nền tảng về kỹ thuật cũng như đã sử dụng không gian quá lâu… tiện ích mở rộng của chúng tôi không bao giờ chạm đến ví tiền của bạn, tiện ích mở rộng chỉ cần biết miền bạn đang cố gắng truy cập.”
Công cụ này đã gắn cờ URL của trang web lừa đảo được đăng lên tài khoản Discord của BorisVagner và có thể hỗ trợ các nhà đầu tư quyết định xem họ có nên tin tưởng vào liên kết hay không.
Ngay cả những công cụ như thế này cũng không thể bất khả xâm phạm. Về mặt lý thuyết, một kẻ lừa đảo tinh vi có thể xâm nhập vào máy chủ Discord chính thức trong khi cũng tấn công một trang web như Wallet Guard để khiến nó có vẻ là một trang web hợp pháp.
Tuy nhiên, không có công cụ nào được mong đợi là bất khả xâm phạm 100% đối với tất cả các cuộc tấn công. Bất kỳ cách nào để các nhà đầu tư có thể giảm nguy cơ họ trở thành nạn nhân của gian lận đều nên được khuyến khích.
Tuy nhiên, mỗi trò lừa đảo lừa đảo tấn công một trò lừa đảo dự án blockchain, nó đến thông qua kết nối web2 với dự án blockchain. Việc thêm chức năng web3 vào công nghệ web2 chẳng hạn như Discord có thể làm tăng đáng kể tính bảo mật của nó.
(Nguồn: tintucbitcoin.com/bored-ape-yacht-club-discord-bi-thiet-hai-200-eth-32-nft/)