แอปพลิเคชัน Web2 เช่น Discord ได้แสดงให้เห็นอีกครั้งว่าเป็นจุดอ่อนในคลังแสงของโครงการบล็อคเชน กว่า 175 ETH ถูกระบายออกจากบัญชีของนักลงทุนหลังจากเซิร์ฟเวอร์ Discord ของ Bored Ape Yacht club ถูกละเมิด @BorisVagner ซึ่งได้รับการเลื่อนตำแหน่งเป็นโซเชียลมีเดียสำหรับ Yuga Labs ในเดือนมกราคม 2022 เท่านั้น บัญชี Discord ของเขาถูกละเมิด ผู้โจมตีสามารถโพสต์ลิงก์ฟิชชิ่งผ่านบัญชีทางการของ BorisVagner บนเซิร์ฟเวอร์ Discord ของ Yuga Labs
ลิงก์นี้ถูกแก้ไขเพื่อป้องกันผู้อ่านไม่ให้เข้าชมไซต์ฟิชชิ่ง ในที่สุด BAYC ก็ออกแถลงการณ์ 9 ชั่วโมงหลังจากมีการรายงานครั้งแรก เซน
“เซิร์ฟเวอร์ Discord ของเราถูกใช้ประโยชน์ในช่วงสั้นๆ ในวันนี้ ทีมจับและจัดการอย่างรวดเร็ว ดูเหมือนว่า NFT มูลค่าประมาณ 200 ETH จะได้รับผลกระทบ เรากำลังตรวจสอบอยู่ แต่ถ้าคุณได้รับผลกระทบ โปรดส่งอีเมลหาเราที่ [ป้องกันอีเมล]"
คำแถลงรายงานว่าทีม “จัดการอย่างรวดเร็ว” และยืนยันมูลค่ารวมที่สูญเสียโดยสมาชิกเป็น 200 ETH ที่มูลค่าของวันนี้ที่ 354k ดอลลาร์หายไปในแทบไม่มีเวลาเลย การขาดความเร่งด่วนในการรายงานเรื่องนี้ต่อชุมชนและความกระชับของการประกาศแสดงให้เห็นองค์ประกอบของความพึงพอใจโดย Yuga Labs
บัญชี Community Manager ถูกบุกรุก
ตามที่ เพคชิลด์, “32 NFT ถูกขโมย รวมถึง 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC” OKHotshot รายงานการละเมิดดังกล่าว ทวีต, “@BorisVagner ถูกละเมิดบัญชีของเขา ซึ่งทำให้ผู้หลอกลวงสามารถโจมตีฟิชชิ่งได้ มากกว่า 145E ในถูกขโมย” ตกลง Hotshot บอกเราโดยเฉพาะว่าอยู่ที่ประมาณ 354k เหรียญ
“แนวทางปฏิบัติด้านความปลอดภัยที่เหมาะสมควรได้รับการสนับสนุนสำหรับโครงการใดๆ ที่สร้างรายได้นับล้าน โดยเฉพาะอย่างยิ่งหากโครงการอยู่ใน 10 อันดับแรกของตลาด การไม่มีผู้จัดการความปลอดภัยจะเพิ่มความเสี่ยงอย่างมาก”
OKHotshot เชื่อว่าผู้จัดการความปลอดภัยสามารถป้องกันสิ่งนี้ได้ เนื่องจาก “พวกเขาจะจัดการกับแนวปฏิบัติด้านความปลอดภัยที่ไม่ลงรอยกัน นโยบายของทีม และทำให้แน่ใจว่าพวกเขาจะปฏิบัติตาม สมาชิกในทีมไม่ควรเปิดข้อความโดยตรง คลิกลิงก์หรือใช้บัญชีหลักบนเซิร์ฟเวอร์อื่นเพียงเพื่อยกตัวอย่างบางส่วน” Yuga Labs มี หลายตำแหน่งงาน พร้อมใช้งาน แต่ไม่มี Security role ที่ใช้งานอยู่
ปฏิกิริยาของชุมชน
ชุมชน crypto ยังพูดถึงปัญหานี้ผ่านกระทู้ที่โพสต์โดยผู้ใช้ Reddit u/naji102 ผู้ใช้พูดถึงความเชื่อถือที่ลดลงสำหรับ NFT เนื่องจากการเพิ่มขึ้นของการหลอกลวงที่มาจากแหล่งที่เป็นทางการ u/XnoonefromnowhereX แสดงความคิดเห็นว่า "ข้อความมีข้อผิดพลาดทางไวยากรณ์ที่ควรจะเป็นธงสีแดง" ในขณะที่ u/CrimsonFox99 ระบุอย่างเห็นใจ "ยากที่จะตำหนิพวกเขาในส่วนนั้น โดยเฉพาะอย่างยิ่งมาจากแหล่งที่เชื่อถือได้"
ผู้ใช้ Twitter ติดต่อกับ OpenSea และ LooksRare การอ้อนวอน “ฉันเพิ่งคลิกการอ้างสิทธิ์ของก็อบลินปลอม 2 MAYC และแมวสุดเท่ 8 ตัวถูกขโมย … กรุณาช่วย. พวกเขาขโมยทุกอย่างจากฉัน” การโทรมาจากผู้ใช้รายอื่นที่สนับสนุนความคิดริเริ่มในการระงับบัญชีของโจร ดูเหมือนว่าการกระจายอำนาจมักจะได้รับการสนับสนุนจนกว่านักลงทุนจะต้องการการสนับสนุนแบบรวมศูนย์เท่านั้น
BAYC Discord ประนีประนอมมาก่อน
นี่ไม่ใช่ครั้งแรกที่เซิร์ฟเวอร์ Discord ได้รับ ที่ถูกบุกรุก. เซิร์ฟเวอร์ถูกแฮ็กในเดือนเมษายน 2022 โดยที่ MAYC #8662 ถูกขโมย ดิ เรื่องราวต่อ ต่อมาเป็นที่รู้กันว่าซุปเปอร์สตาร์ป๊อปชาวไต้หวัน Jay Chou เป็นเจ้าของ NFT ที่ถูกขโมยไปซึ่งมีมูลค่า 550 ดอลลาร์ โปรไฟล์ Discord ถูกบุกรุกทั้ง XNUMX ครั้ง ทำให้การโจมตีสามารถโพสต์ลิงก์ฟิชชิ่งไปยังช่องทางที่เป็นทางการได้
การปกป้องโครงสร้างพื้นฐานของ web2 ที่เชื่อมโยงกับ web3
มีวิธีแก้ไขปัญหาเพื่อพยายามต่อสู้กับปัญหาเว็บไซต์หลอกลวง เครื่องมือแอนตี้ไวรัสหลักๆ ส่วนใหญ่ใช้ไลบรารีของไซต์ที่ถูกแบล็คลิสต์เพื่อช่วยผู้ใช้ในการท่องอินเทอร์เน็ต อย่างไรก็ตาม ความเร็วและความถี่ของการหลอกลวงหมายความว่าเครื่องมือเหล่านี้อาจไม่ทันสมัยอยู่เสมอ ส่วนขยายของโครเมียมที่เรียกว่า กระเป๋าเงินการ์ด พยายามแก้ปัญหานี้ในพื้นที่ web3
Wallet Guard บอกกับ CryptoSlate:
“ไม่ใช่ทุกคนที่มีพื้นฐานทางเทคนิคและไม่ได้ใช้งานพื้นที่นานเกินไป… ส่วนขยายของเราไม่เคยแตะกระเป๋าเงินของคุณ เพียงต้องการทราบโดเมนที่คุณกำลังพยายามเข้าชมเท่านั้น”
เครื่องมือระบุ URL ของไซต์ฟิชชิ่งที่โพสต์ในบัญชี Discord ของ BorisVagner และอาจช่วยนักลงทุนในการตัดสินใจว่าควรเชื่อถือลิงก์หรือไม่
อย่างไรก็ตาม แม้แต่เครื่องมือเช่นนี้ก็ไม่สามารถคงกระพันได้ นักต้มตุ๋นที่เก่งกาจในทางทฤษฎีสามารถเข้าไปในเซิร์ฟเวอร์ Discord อย่างเป็นทางการได้ในขณะเดียวกันก็โจมตีไซต์เช่น Wallet Guard เพื่อให้ดูเหมือนเป็นไซต์ที่ถูกต้อง" อย่างไรก็ตาม คาดว่าไม่มีเครื่องมือใดที่จะคงกระพันต่อการโจมตีทั้งหมดได้ 100% วิธีใดก็ตามที่นักลงทุนสามารถลดโอกาสที่พวกเขาตกเป็นเหยื่อของการฉ้อโกงควรได้รับการส่งเสริม
อย่างไรก็ตาม การหลอกลวงแบบฟิชชิ่งแต่ละครั้งจะโจมตีการหลอกลวงโครงการบล็อคเชน โดยผ่านการเชื่อมต่อเว็บ2 กับโครงการบล็อคเชน การเพิ่มฟังก์ชันการทำงานของ web3 ให้กับเทคโนโลยี web2 เช่น Discord สามารถเพิ่มความปลอดภัยได้อย่างมาก
CryptoSlate เอื้อมมือออกไป BorisVagner เพื่อแสดงความคิดเห็น แต่ไม่ได้รับการตอบกลับ
ที่มา: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/