Discord сияқты Web2 қосымшалары тағы да блокчейн жобаларының арсеналындағы әлсіз сілтеме болып шықты. Bored Ape Yacht клубының Discord сервері бұзылғаннан кейін инвесторлардың шоттарынан 175-тен астам ETH шығарылды. 2022 жылдың қаңтарында Yuga Labs үшін әлеуметтік медиаға көтерілген @BorisVagner өзінің Discord аккаунтын бұзды. Содан кейін шабуылдаушы БорисВагнердің Yuga Labs Discord серверіндегі ресми аккаунты арқылы фишингтік сілтемелерді жариялай алды.
Оқырмандарды фишинг сайтына кіруден қорғау үшін сілтеме өзгертілді. BAYC бұл туралы алғаш рет хабарланған соң 9 сағаттан кейін мәлімдеме жасады көрсету,
«Біздің Discord серверлері бүгін қысқаша пайдаланылды. Команда оны тез тауып, шешті. Шамамен 200 ETH құны NFT әсер еткен сияқты. Біз әлі де зерттеп жатырмыз, бірақ сізге әсер еткен болса, бізге электрондық пошта арқылы хабарлаңыз [электрондық пошта қорғалған]«
Мәлімдемеде команда «тез арада шешілді» деп хабарлады және мүшелер жоғалтқан жалпы құндылықты 200 ETH ретінде растады. Бүгінгі баға бойынша бұл 354 мың доллар дерлік дерлік жоғалып кетті. Мәселе туралы өз қауымдастығына хабарлаудағы жеделдіктің болмауы және хабарландырудың қысқалығы Yuga Labs компаниясының жайбарақаттығын көрсетеді.
Community Manager есептік жазбасы бұзылды.
Сәйкес Pekshield, “32 NFT ұрланды, оның ішінде 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC” Бұзушылық туралы бастапқыда OKHotshot хабарлады, ол tweeted, «@BorisVagner аккаунтын бұзды, бұл алаяқтарға фишингтік шабуылды орындауға мүмкіндік берді. 145E-ден астам ұрланған. OKHotshot ол шамамен $354 мың екенін бізге эксклюзивті айтты.
«Миллиондаған табыс әкелетін кез келген жоба үшін тиісті қауіпсіздік тәжірибелері сақталуы керек. Әсіресе, жоба нарықтағы алғашқы 10-ға кіретін болса. Қауіпсіздік менеджерінің болмауы бұл тәуекелді айтарлықтай арттырады ».
OKHotshot қауіпсіздік менеджері бұған жол бермеуі мүмкін деп санайды, өйткені «олар қауіпсіздік тәжірибесін, топ саясатын басқарады және олардың сақталуына көз жеткізеді. Бірде-бір топ мүшесінің тікелей хабарламалары ашылмауы керек, сілтемелерді басу немесе бірнеше мысал келтіру үшін басқа серверлердегі негізгі тіркелгілерін пайдалану керек. Yuga Labs бар бірнеше жұмыс рөлдері қол жетімді, бірақ қауіпсіздік рөлдері тірі емес.
Қоғамдық реакция
Криптовалюта қауымдастығы Reddit пайдаланушысы u/naji102 жариялаған ағын арқылы да бұл мәселеге қатысты. Пайдаланушылар тіпті ресми көздерден келетін алаяқтықтардың көбеюіне байланысты NFTs сенімінің төмендеуін талқылады. u/XnoonefromnowhereX "Хабарда қызыл жалауша болуы керек грамматикалық қателер болды" деп түсіндірді, ал u/CrimsonFox99 жанашырлықпен: "Оларды бұл бөлігінде кінәлау қиын, әсіресе сенімді дереккөзден келді" деді.
Twitter қолданушысы OpenSea және LooksRare-ге хабарласты жалбарыну «Мен жай ғана жалған гоблин туралы мәлімдемені бастым. 2 MAYC және 8 салқын мысық ұрланған. … өтінемін көмектесіңіз. Олар менің барлық нәрсені ұрлады ». Ұрының аккаунттарын бұғаттау бастамасын қолдаған басқа пайдаланушылардан қоңыраулар түскен. Көбінесе орталықсыздандыру инвесторларға орталықтандырылған қолдауды қажет етпейінше ғана қолдау көрсетілетін сияқты.
BAYC Discord бұрын бұзылған
Бұл Discord сервері бірінші рет емес бұзылған. Сервер 2022 жылдың сәуірінде бұзылды, MAYC №8662 ұрланды. The әңгіме жалғасты Тайваньдық эстрада жұлдызы Джей Чоу 550 мың доллар тұратын ұрланған NFT иесі екені кейінірек белгілі болды. Discord профилі екі жағдайда да бұзылды, бұл шабуылға фишингтік сілтемелерді ресми арналарға жариялауға мүмкіндік берді.
web2-ке байланысты web3 инфрақұрылымын қорғау
Алаяқтық веб-сайттар мәселесімен күресу үшін шығарылатын шешімдер бар. Көптеген негізгі антивирус құралдары пайдаланушыларға интернетті шолуға көмектесу үшін қара тізімге енгізілген сайттардың кітапханаларын пайдаланады. Дегенмен, алаяқтықтардың жылдамдығы мен жиілігі бұл құралдардың әрқашан толық жаңартылмауы мүмкін екенін білдіреді. Chrome кеңейтімі деп аталады Әмиян қорғаушысы бұл мәселені web3 кеңістігінде шешуге тырысады.
Wallet Guard CryptoSlate-ке:
«Әркімнің техникалық білімі жоқ және бұл кеңістікте тым көп уақыт болған жоқ… біздің кеңейтім ешқашан әмияныңызға тимейді, ол тек сіз баруға тырысып жатқан доменді білуі керек».
Құрал БорисВагнердің Discord тіркелгісінде жарияланған фишинг сайтының URL мекенжайын белгіледі және инвесторларға сілтемеге сену керек пе деген шешім қабылдауға көмектесуі мүмкін.
Дегенмен, мұндай құралдардың өзі зақымданбайды. Күрделі алаяқ теориялық тұрғыдан ресми Discord серверіне кіріп, сонымен қатар Wallet Guard сияқты сайтты заңды сайт етіп көрсету үшін шабуыл жасай алады. Дегенмен, ешбір құрал барлық шабуылдарға 100% осал болмайды деп күтілмейді. Инвесторлардың алаяқтық құрбаны болу мүмкіндігін азайтудың кез келген әдісін ынталандыру керек.
Дегенмен, әрбір фишингтік алаяқтық блокчейн жобасының алаяқтығына шабуыл жасайды, ол blockchain жобасына web2 қосылымы арқылы келеді. Discord сияқты web3 технологиясына web2 функционалдығын қосу оның қауіпсіздігін күрт арттыруы мүмкін.
үшін cryptoslat Борис Вагнерге түсініктеме алу үшін хабарласты, бірақ жауап алмады.
Дереккөз: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/