Discord와 같은 Web2 애플리케이션은 블록체인 프로젝트의 무기고에서 약한 링크임을 다시 한 번 보여주었습니다. Bored Ape Yacht club Discord 서버가 해킹된 후 투자자 계정에서 175개 이상의 ETH가 유출되었습니다. 2022년 XNUMX월에 Yuga Labs의 소셜 미디어로만 승진한 @BorisVagner는 Discord 계정이 유출되었습니다. 그런 다음 공격자는 Yuga Labs Discord 서버의 BorisVagner 공식 계정을 통해 피싱 링크를 게시할 수 있었습니다.
독자가 피싱 사이트를 방문하는 것을 방지하기 위해 링크가 수정되었습니다. BAYC, 첫 보도 9시간 만에 드디어 성명 발표 진술,
“오늘 Discord 서버가 잠시 악용되었습니다. 팀은 이를 빠르게 파악하고 해결했습니다. 약 200 ETH 상당의 NFT가 영향을 받은 것으로 보입니다. 아직 조사 중이지만 영향을 받은 경우 다음 주소로 이메일을 보내주십시오. [이메일 보호]"
성명서는 팀이 "신속하게 해결"했으며 구성원이 손실한 총 가치를 200 ETH로 확인했다고 보고했습니다. 현재 가치로 354달러라는 가치는 거의 순식간에 사라졌습니다. 커뮤니티에 문제를 보고하는 데 긴급하지 않고 발표가 간결하다는 점은 Yuga Labs의 안일한 요소를 시사합니다.
커뮤니티 관리자 계정이 손상되었습니다.
에 따르면 페크 실드, "32 #BAYC, 1 #MAYC, 2 #Otherdeed, 5 #BAKC를 포함하여 1개의 NFT가 도난당했습니다." 위반은 처음에 OKHotshot에 의해 보고되었습니다. 트위트 된, “@BorisVagner는 계정이 유출되어 사기꾼들이 피싱 공격을 실행할 수 있게 되었습니다. 145E 이상을 도난당했습니다.” OK핫샷 약 $354k라고 독점적으로 말했습니다.
“수백만 달러의 수익을 올리는 모든 프로젝트에 대해 적절한 보안 관행이 유지되어야 합니다. 특히 프로젝트가 시장의 상위 10위 안에 드는 경우. 보안 관리자가 없으면 위험이 크게 증가합니다.”
OKHotshot은 보안 관리자가 "불화한 보안 관행, 팀 정책을 처리하고 유지되는지 확인했기 때문에 이를 방지할 수 있었습니다. 팀 구성원은 다이렉트 메시지를 열어 두거나 링크를 클릭하거나 몇 가지 예를 들기 위해 다른 서버의 기본 계정을 사용해서는 안 됩니다.” 유가랩스는 여러 직무 사용 가능하지만 활성 보안 역할이 없습니다.
커뮤니티 반응
암호화 커뮤니티는 Reddit 사용자 u/naji102가 게시한 스레드를 통해 이 문제에 대해 목소리를 높였습니다. 사용자들은 공식 출처에서 오는 사기의 증가로 인해 NFT에 대한 신뢰가 떨어지는 것에 대해 논의했습니다. u/XnoonefromnowhereX는 "메시지에 적신호여야 하는 문법적 오류가 있었습니다."라고 댓글을 달았고, u/CrimsonFox99는 "그 부분에 대해 비난하기 어렵습니다. 특히 신뢰할 수 있는 출처에서 온 것입니다."
OpenSea 및 LookRare에 연락한 Twitter 사용자 탄원 "방금 가짜 고블린 주장을 클릭했습니다. MAYC 2마리와 멋진 고양이 8마리가 도난당했습니다. … 도와주세요. 그들은 나에게서 모든 것을 훔쳤습니다.” 도둑의 계정을 동결하기 위한 계획을 지지하는 다른 사용자들로부터 전화가 왔습니다. 종종 분산화는 투자자가 중앙 집중식 지원이 필요할 때까지만 지원되는 것 같습니다.
BAYC Discord가 손상되기 전에
Discord 서버가 공개된 것은 이번이 처음이 아닙니다. 위험에 처한. 서버는 2022년 8662월에 해킹되어 MAYC #XNUMX가 도난당했습니다. 그만큼 이야기 계속 대만 팝 슈퍼스타 Jay Chou가 550만 달러 상당의 도난당한 NFT의 소유자라는 사실이 나중에 알려지게 되었습니다. 두 경우 모두 Discord 프로필이 손상되어 공격이 공식 채널에 피싱 링크를 게시할 수 있었습니다.
web2에 연결된 web3 인프라 보호
사기 웹사이트의 문제를 해결하기 위한 솔루션이 출시되고 있습니다. 대부분의 주요 바이러스 백신 도구는 블랙리스트에 있는 사이트의 라이브러리를 사용하여 사용자가 인터넷을 검색할 수 있도록 지원합니다. 그러나 사기의 속도와 빈도로 인해 이러한 도구가 항상 완전히 최신 상태가 아닐 수도 있습니다. 라는 크롬 확장 프로그램 지갑 가드 web3 공간에서 이 문제를 해결하려고 합니다.
Wallet Guard는 CryptoSlate에 다음과 같이 말했습니다.
"모든 사람이 기술적인 배경을 갖고 있지도 않고 그 공간을 너무 오래 사용하지도 않았습니다. 우리 확장 프로그램은 지갑에 손을 대지 않으며 방문하려는 도메인만 알면 됩니다."
이 도구는 BorisVagner의 Discord 계정에 게시된 피싱 사이트의 URL에 플래그를 지정했으며 투자자가 링크를 신뢰해야 하는지 결정하는 데 도움이 될 수 있었습니다.
그러나 이와 같은 도구도 무적이 아닙니다. 정교한 사기꾼은 이론적으로 공식 Discord 서버에 침입하는 동시에 Wallet Guard와 같은 사이트를 공격하여 합법적인 사이트로 보이게 할 수 있습니다.” 그러나 어떤 도구도 모든 공격에 100% 무적일 것으로 예상되지는 않습니다. 투자자들이 사기의 희생양이 될 가능성을 줄일 수 있는 모든 방법을 권장해야 합니다.
여전히 각 피싱 사기는 블록체인 프로젝트에 대한 web2 연결을 통해 오는 블록체인 프로젝트 사기를 공격합니다. Discord와 같은 web3 기술에 web2 기능을 추가하면 보안이 크게 향상될 수 있습니다.
CryptoSlate 의견을 위해 BorisVagner에 연락했지만 응답을 받지 못했습니다.
출처: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/