Le serveur Bored Ape Yacht Club Discord a été violé, causant 200 ETH, 32 NFT de pertes

Les applications Web2 telles que Discord se sont à nouveau révélées être le maillon faible de l’arsenal des projets blockchain. Plus de 175 ETH ont été drainés des comptes des investisseurs après la violation du serveur Discord du Bored Ape Yacht club. @BorisVagner, qui n’a été promu aux médias sociaux pour Yuga Labs qu’en janvier 2022, a vu son compte Discord piraté. L’attaquant a ensuite pu poster des liens de phishing via le compte officiel de BorisVagner sur le serveur Yuga Labs Discord.
discorde bayc
La source: Twitter
Le lien a été rédigé pour empêcher les lecteurs de visiter le site de phishing. BAYC a finalement publié une déclaration 9 heures après avoir été signalée pour la première fois indiquant,
« Nos serveurs Discord ont été brièvement exploités aujourd’hui. L’équipe l’a attrapé et l’a traité rapidement. Environ 200 ETH de NFT semblent avoir été touchés. Nous enquêtons toujours, mais si vous avez été touché, envoyez-nous un e-mail à [email protected]”
Le communiqué rapporte que l’équipe « y a répondu rapidement » et a confirmé que la valeur totale perdue par les membres était de 200 ETH. À la valeur actuelle, 354 000 $ ont disparu en un rien de temps. Le manque d’urgence à signaler l’affaire à sa communauté et la brièveté de l’annonce suggèrent un élément de complaisance de la part de Yuga Labs.

Compte de gestionnaire de communauté compromis.

Selon Bouclier« 32 NFT ont été volés, dont 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC » La violation a été signalée initialement par OKHotshot, qui tweeté, « @BorisVagner a vu son compte piraté, ce qui a permis aux escrocs d’exécuter leur attaque de phishing. Plus de 145 E ont été volés. OKHotshot nous a dit en exclusivité qu’il s’agissait d’environ 354 000 $.
«Des pratiques de sécurité appropriées doivent être maintenues pour tout projet générant des millions de revenus. Surtout si le projet est dans le top 10 du marché. Ne pas avoir de responsable de la sécurité augmente considérablement ce risque. »
OKHotshot pense qu’un responsable de la sécurité aurait pu empêcher cela car « il gérerait les pratiques de sécurité discordantes, la politique d’équipe et s’assurerait qu’elles sont respectées. Aucun membre de l’équipe ne devrait avoir ses messages directs ouverts, cliquer sur des liens ou utiliser son compte principal sur d’autres serveurs, pour ne donner que quelques exemples. Yuga Labs a plusieurs rôles de travail disponibles, mais aucun rôle de sécurité n’est en direct.

Réaction communautaire

La communauté crypto a également parlé du problème via un fil de discussion publié par l’utilisateur Reddit u/naji102. Les utilisateurs ont discuté de la baisse de confiance envers les NFT en raison de l’augmentation des escroqueries qui proviennent même de sources officielles. u/XnoonefromnowhereX a commenté : « Le message contenait des erreurs grammaticales qui auraient dû être un drapeau rouge », tandis que u/CrimsonFox99 a déclaré avec empathie : « Difficile de les blâmer pour cette partie, en particulier venant d’une source supposée fiable. » Un utilisateur de Twitter a contacté OpenSea et LooksRare plaidoirie « Je viens de cliquer sur une fausse déclaration de gobelin. 2 MAYC et 8 chats sympas ont été volés. … s’il vous plaît aidez-moi. Ils m’ont tout volé. » Des appels sont venus d’autres utilisateurs soutenant l’initiative de geler les comptes du voleur. Il semble que souvent la décentralisation n’est soutenue que jusqu’à ce que les investisseurs aient besoin d’un soutien centralisé.

BAYC Discord compromis avant

Ce n’est pas la première fois que le serveur Discord est compromis. Le serveur a été piraté en avril 2022, avec le vol de MAYC #8662. L’histoire a continué car on a appris plus tard que la superstar de la pop taïwanaise Jay Chou était le propriétaire du NFT volé d’une valeur de 550 000 $. Un profil Discord a été compromis à ces deux occasions, permettant à l’attaque de publier des liens de phishing sur les canaux officiels.

Protection de l’infrastructure web2 liée au web3

Il existe des solutions publiées pour tenter de lutter contre le problème des sites Web frauduleux. La plupart des principaux outils antivirus utilisent des bibliothèques de sites sur liste noire pour aider les utilisateurs à naviguer sur Internet. Cependant, la vitesse et la fréquence des escroqueries signifient que ces outils ne sont pas toujours complètement à jour. Une extension chrome appelée Wallet Guard tente de résoudre ce problème dans l’espace web3. Wallet Guard a déclaré à CryptoSlate :
« Tout le monde n’a pas une formation technique ni n’est dans l’espace depuis trop longtemps… notre extension ne touche jamais votre portefeuille, elle a seulement besoin de connaître le domaine que vous essayez de visiter. »
L’outil a signalé l’URL du site de phishing publié sur le compte Discord de BorisVagner et aurait pu aider les investisseurs à décider s’ils devaient faire confiance au lien. Cependant, même des outils comme celui-ci ne sont pas invulnérables. Un escroc sophistiqué pourrait théoriquement entrer dans un serveur Discord officiel tout en attaquant un site comme Wallet Guard pour le faire apparaître comme un site légitime. Cependant, aucun outil ne devrait être 100% invulnérable à toutes les attaques. Toute manière dont les investisseurs peuvent réduire le risque qu’ils soient victimes de fraude doit être encouragée. Pourtant, chaque escroquerie par hameçonnage attaque une escroquerie de projet blockchain, elle passe par une connexion web2 au projet blockchain. L’ajout de fonctionnalités Web3 à une technologie Web2 telle que Discord pourrait considérablement augmenter sa sécurité. CryptoSlate a contacté BorisVagner pour un commentaire mais n’a pas reçu de réponse.
The SATOSHI KOALAS collection NFTCrédit: Lien source

par

Étiquettes :

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *