Официальный Instagram аккаунт BAYC взломан, украдены NFT на $13,7 млн
В понедельник, 25 апреля 2022 года, хакеры получили полный контроль над официальным Instagram аккаунтом Bored Ape Yacht Сlub (BAYC). Фишинговый захват привел к тому, что пользователи потеряли 91 NFT с изображениями обезьян, мутантов и псов на сумму около $13,7 млн исходя из минимальной цены цифровых активов.
Хакер использовал учетную запись Instagram, чтобы запустить поддельный эйрдроп и опубликовать фальшивую ссылку на поддельный веб-сайт. Для получения эйрдропа, от пользователей требовалось подписать транзакцию, известную как “safeTransferFrom”, в результате которой NFT отправились на кошелёк хакера. Вор тщательно спланировал эту атаку, чтобы привязать её к грядущей игре в метавселенной от Yuga Labs под названием “OthersideMeta”. На поддельном веб-сайте содержалась ложная информация о том, что создатель Bored Ape компания Yuga Labs раздавала бесплатную NFT-землю своей будущей метавселенной Otherside.
Со своей стороны, команда Bored Yacht Ape Club опубликовала твит, в котором опровергала данную информацию и утверждала, что они не координировали такие действия и что это был взлом. “Сегодня чеканки не будет. Аккаунт BAYC в Instagram был взломан. Ничего не чеканите, не нажимайте ни на какие ссылки и ни к чему не подключайте свой кошелек.”
К сожалению, эта информация пришла поздно, и до ответа многие инвесторы уже потеряли свои NFT в результате этой атаки.
Источник: Твиттер @melbo.et
Процесс взлома
Рано утром 25 апреля создатель знаменитой коллекции NFT Bored Ape Yacht Club компания Yuga labs в своём Твиттере объявила об атаке на Instagram-аккаунт, и немедленно предупредила членов своего сообщества, что они не делали никаких эйрдропов NFT. Заявив, что объявление об эйрдропе и ссылка на страницу в Instagram были опубликованы хакерами, которые получили контроль над официальной учётной записью клуба в Instagram, несмотря на все меры безопасности.
Уже подтверждено, что хакер подключил свой кошелек NFT к фальшивой ссылке на минтинг, которую он предоставил в учетной записи, которая соединяла пользователей с веб-сайтом похожим на BAYC, где он отображал ложную информацию об эйрдропе. Согласно объявлению на поддельном веб-сайте, каждый, кто привязал свой кошелек к Metamask или Ethereum, получит бесплатный эйрдроп виртуального участка земли, даже если у них не было BAYC. Эта земля находилась в предстоящим проекте метавселенной от BAYC под названием “OthersideMeta”, запуск которого запланирован на 30 апреля 2022 года компанией Yuga Labs.
Соучредитель Yuga labs, @CryptoGarga, в своём Твиттере прокомментировал инцидент:
“В результате взлома IG было украдено 4 обезьяны, 6 мутантов, 3 собаки и некоторые другие ценные NFT. Мы свяжемся с пострадавшими пользователями и позже опубликуем результаты расследования. Также я хотел бы подчеркнуть, что для учетной записи использовалась двухфакторная аутентификация.”
До сих пор неизвестно, как хакер получил доступ к учетной записи с включённой двухфакторной аутентификацией — механизмом безопасности, который должен был сделать несанкционированный доступ практически невозможным. Однако, по словам команды BAYC, в настоящее время они работают с Instagram и расследуют инцидент, а также планируют связаться с теми, кто потерял свои NFT. Согласно их внутреннему отчёту, было украдено меньшее количество NFT.
Более подробное расследование, которое провёл внештатный криптоисследователь @zachxbt, показало, что в период взлома на кошелёк хакера был переведён 91 NFT, включая 3 BAKC, 4 BAYC, 7 MAYC, 1 CloneX и другие NFT. С помощью своего ончейн анализа он отследил как хакер перемещал украденные NFT на три разных централизованных биржевых кошелька.
Источник: @zachxbt
Неопределённая стоимость украденных цифровых активов
На момент написания этой статьи конкретная сумма в денежном эквиваленте и общее количество украденных NFT ещё не подтверждено, поскольку результаты нескольких исследовательских групп разошлись в подсчётах. По оценкам CoinDesk, украденные 24 скучающих обезьяны и 30 обезьян-мутантов стоят около $13,7 млн (исходя из их минимальной цены), в то время как Perkshield, специалисты по безопасности блокчейна, считают, что атака на Instagram BAYC вылилась в хищение 765,3 ETH и 91 NFT.
Это не первый подобный инцидент на BAYC. Прошлый раз это случилось 1 апреля, когда был взломан дискорд-канал проекта. Некоторые члены сообщества считали, что после того случая команда должна была усилить безопасность своих социальных сетей по всем фронтам. Кроме того, проект заявил, что впредь не будет анонсировать какие-либо важные новости в Instagram.
Как BAYC планирует повышать безопасность
Коллекция NFT Bored Ape Yacht Club до сих пор считается самым ценным активом Yuga Labs несмотря на недавнее приобретение Cryptopunks у Larva Labs. BAYC представляет собой набор из более чем 10 000 уникальных NFT на блокчейне Ethereum, что предоставляет владельцам некоторые эксклюзивные привилегии членства в клубе.
В марте Yuga Labs запустила процедуру KYC, которая была воспринята сообществом негативно. Тем не менее, команда заявила, что это важно для продвижения компании на следующий уровень и развития за рамки номинального проекта NFT. Мы считаем, что благодаря таким инициативам Yuga Labs сможет защитить членов своего сообщества от будущих атак со стороны мошенников.
Заключение
Скорость, с которой развивается хакерское ремесло в мире NFT, вызывает тревогу. Топовые и известные NFT-проекты также становятся жертвами мошенников, которые обманывают владельцев NFT, грабят их и исчезают вместе с ценными цифровыми активами и NFT огромной денежной стоимости. Спустя столько краж сообщество NFT наконец-то должно начать относиться более серьёзно к своей безопасности.
Автор: исследователь Gate.io Olatunji M.
*Эта статья содержит только точку зрения исследователей и не является руководством по инвестированию.
*Все права на текст данной статьи принадлежат Gate.io. Репост данной статьи будет разрешен в случае указания Gate.io как источник. В противном случае будет преследоваться юридическая ответственность в связи с нарушением авторских прав.
