Понеділок, 25 квітня 2022 року, хакери отримали повний контроль над офіційним Instagram-адресою яхт-клубу Bored Ape (BAYC). Фішингове захоплення призвело до того, що багато користувачів втратили більше 91 Apes, Mutants і Kernel NFT на суму приблизно 13,7 мільйона доларів США та більше, виходячи з мінімальної ціни цифрових активів.
Хакер використовував обліковий запис Instagram, щоб надати фальшивий airdrop і помилкове посилання на веб-сайт-клон. Airdrop вимагав від користувачів підписати транзакцію, відому як «safeTransferFrom», яка надсилала NFT на гаманець хакера. Хакер ретельно спланував цю атаку, щоб мати зв’язок із майбутньою грою метавсесвіту Yuga Labs під назвою «OthersideMeta». Посиланий веб-сайт неправдиво стверджував, що Yuga Labs, творець Bored Ape, роздавав безкоштовну землю NFT для своєї майбутньої метавсесвітньої гри Otherside.
З іншого боку, команда Bored Yacht Ape Club оголосила в Twitter, що команда не координувала подібних дій і що це був злом. «Сьогодні не буде монетного двору», — сказали вони. Схоже, обліковий запис BAYC в Instagram зламали. «Не карбуйте нічого, не натискайте жодних посилань і не підключайте свій гаманець до будь-чого».
На жаль, ця інформація надійшла із запізненням, і до відповіді багато інвесторів уже втратили свої NFT через цю крадіжку.
Джерело: Twitter @melbo.et
Процес злому
Yuga labs, відомий творець колекції відомих NFT, яхт-клуб Bored Ape, визнав у своєму Twitter-акаунті атаку на свій обліковий запис Instagram рано ввечері 25 квітня та негайно попередив членів спільноти не карбувати жодних NFT чітко зазначає, що оголошення про аірдроп і посилання на його сторінці в Instagram було видалено хакерами, які отримали контроль над офіційним обліковим записом клубу в Instagram, незважаючи на заходи безпеки.
Було підтверджено, що хакер підключив свій NFT-гаманець до підробленого посилання на карбування, яке він надав в обліковому записі, яке підключало користувачів до схожого веб-сайту BAYC, де він відображав неправдиву інформацію про airdrop. Згідно з оголошенням на фейковому веб-сайті, кожен, хто прив’яже свій гаманець із підтримкою Metamask або Ethereum, отримає безкоштовну роздачу віртуальної землі, навіть якщо у нього не буде Bored Ape. Ця земля була пов’язана з майбутнім проектом метавсесвіту BAYC «OthersideMeta», який планується запустити 30 квітня 2022 року компанією Yuga Labs.
Співзасновник Yuga labs, @CryptoGarga, у своїй заяві про злом написав у Twitter
«Злом IG призвів до втрати 4 мавп, 6 мутантів, 3 розплідників і деяких інших різноманітних цінних NFT. Ми зв’яжемося з постраждалими користувачами та опублікуємо контакти постраждалих користувачів, і зараз я хотів би підкреслити, що в обліковому записі ввімкнено 2FA».
Досі невідомо, як хакер отримав доступ до облікового запису Twitter із увімкненою двофакторною автентифікацією, механізмом безпеки, який мав зробити незаконний доступ надзвичайно складним. Однак, згідно з BAYC щодо цього інциденту, вони зараз працюють з Instagram і розслідують інцидент, а також зв’яжуться з тими, хто втратив свої NFT. Згідно з їхнім звітом, була викрадена менша кількість NFT.
Більш детальне дослідження, проведене @zachxbt, позаштатним крипторозслідувачем, який перейшов за посиланням і скинув адресу ефіру хакера, виявило, що 91 NFT, включаючи 3 BAKC, 4 BAYC, 7 MAYC, 1 CloneX та інші NFT, були переведені в гаманець Hackers. в період злому. Він відстежив, як хакер переміщує вкрадені кошти з NFT у три різні централізовані біржові гаманці за допомогою аналізу в мережі.
Джерело: @zachxbt
Невизначена вартість відсутніх цифрових активів
На момент написання цієї статті конкретна сума вартості в грошовому виразі і загальна кількість викрадених NFT ще не підтверджена, оскільки кілька дослідницьких груп придумали кілька різних значень. За даними CoinDesk, вартість викрадених 24 Bored Apes і 30 Mutant Apes становить 13,7 мільйона доларів, виходячи з їх мінімальної ціни. У той час як Perkshield, фірма з безпеки блокчейну, стверджувала, що атака BAYC на Instagram призвела до викрадення 765.3ETH і близько 91 NFT.
Це не перша атака на BAYC Collection, нагадалося, що подібна атака була здійснена 1 квітня, де також був зламаний її канал discord. Деякі члени спільноти вважали, що це повинно було змусити команду покращити безпеку соціальних мереж на всіх фронтах. Крім того, компанія заявила, що не буде повідомляти про будь-які важливі оновлення в Instagram.
Кроки BAYC до безпеки
Колекція Bored Ape Yacht Club NFT досі вважається найціннішим активом компанії. Незважаючи на нещодавнє придбання Yuga Labs компанії Cryptopunks у Larva Labs, BAYC — це колекція з понад 10 000 унікальних NFT, побудованих на блокчейні Ethereum, що надає власникам деякі ексклюзивні привілеї членства в клубі.
У березні Yuga Labs запустила нову процедуру «Знай свого клієнта» (KYC), яка викликала шалений спротив з боку спільноти. Однак команда стверджувала, що це важливо для компанії щодо її наступного рівня, виходячи за межі просто номінального проекту NFT. Ми вважаємо, що завдяки подібним і іншим ініціативам Yuga Labs зможе захистити своїх членів спільноти від майбутніх атак з боку скрупульозних хакерів.
Висновок
Швидкість шахрайства з NFT зростає досить тривожно. Наслідком цього є те, що найкращі та відомі проекти NFT також стають жертвами дрібних шахраїв, які обманюють необізнаних ентузіастів NFT, грабують їх і зникають із цінними цифровими активами та NFT величезної грошової вартості. Ці крадіжки є закликом до спільноти NFT, яка більше піклується про безпеку.
Автор: Gate.io Спостерігач:
М. Олатунджі
Відмова від відповідальності:
* Ця стаття представляє лише погляди спостерігачів і не містить інвестиційних пропозицій.
*Gate.io залишає за собою всі права на цю статтю. Повторне розміщення статті буде дозволено за умови посилання на Gate.io. У всіх інших випадках через порушення авторських прав буде вжито судовий позов.