Веб2 апликације као што је Дисцорд поново су се показале као слаба карика у арсеналу блокчејн пројеката. Преко 175 ЕТХ је повучено са рачуна инвеститора након што је пробијен Дисцорд сервер Боред Апе Иацхт цлуба. @БорисВагнеру, који је тек у јануару 2022. промовисан у друштвене медије за Иуга Лабс, проваљен је његов Дисцорд налог. Нападач је тада могао да постави пхисхинг везе преко БорисВагнеровог званичног налога на Иуга Лабс Дисцорд серверу.
Веза је редигована како би се читаоци заштитили од посете сајту за пхисхинг. БАИЦ је коначно објавио саопштење 9 сати након што је први пут објављено наводећи,
„Наши Дисцорд сервери су данас накратко експлоатисани. Тим је то брзо ухватио и решио. Чини се да је погођено око 200 ЕТХ НФТ-ова. Још увек истражујемо, али ако сте били погођени, пошаљите нам е-пошту на [емаил заштићен]"
У саопштењу се наводи да је тим „брзо решио проблем“ и потврдио да је укупна вредност коју су чланови изгубили 200 ЕТХ. По данашњој вредности која износи 354 долара нестало је скоро за кратко време. Недостатак хитности у пријављивању ствари својој заједници и краткоћа најаве сугеришу елемент самозадовољства Иуга Лабс.
Налог менаџера заједнице је компромитован.
Према Пецксхиелд, „32 НФТ-а су украдена, укључујући 1 #БАИЦ, 2 #МАИЦ, 5 #Отхердеед, 1 #БАКЦ” Кршење је првобитно пријавио ОКХотсхот, који је твеетед, „@БорисВагнеру је проваљен налог, што је омогућило преварантима да изврше свој пхисхинг напад. Украдено је преко 145Е ин. ОКХотсхот нам је ексклузивно рекао да је око 354 хиљаде долара.
„Требало би поштовати одговарајуће безбедносне праксе за сваки пројекат који доноси милионске приходе. Поготово ако је пројекат у првих 10 на тржишту. Непоседовање менаџера безбедности значајно повећава тај ризик."
ОКХотсхот верује да је менаџер за безбедност могао да спречи ово јер би „обеђивао безбедносне праксе у нескладу, политику тима и обезбедио да се оне поштују. Ниједан члан тима не би требало да има отворене директне поруке, да клика на везе или да користи своје главне налоге на другим серверима само да би дао неколико примера.” Иуга Лабс има неколико радних улога доступна, али ниједна безбедносна улога није активна.
Реакција заједнице
Крипто заједница је такође била гласна о овом проблему кроз нит коју је објавио корисник Реддит-а у/наји102. Корисници су разговарали о паду поверења у НФТ-ове због пораста превара које долазе чак и из званичних извора. у/КсноонефромновхереКс је прокоментарисао: „Порука је имала граматичке грешке које би требало да буду црвена заставица“, док је у/ЦримсонФок99 саосећајно изјавио: „Тешко их је окривити за тај део, посебно из наводног поузданог извора.“
Корисник Твитера се обратио ОпенСеа и ЛооксРаре-у молим „Управо сам кликнуо на лажну тврдњу о гоблину. Украдено је 2 МАИЦ-а и 8 цоол мачака. … молим вас помозите. Све су ми украли.” Позиви су стизали од других корисника који подржавају иницијативу за замрзавање налога лопова. Чини се да се често децентрализација подржава само док инвеститорима није потребна централизована подршка.
БАИЦ Дисцорд је компромитован раније
Ово није први пут да је Дисцорд сервер компромитован. Сервер је хакован у априлу 2022, а МАИЦ #8662 је украден. Тхе прича се наставила како се касније сазнало да је тајванска поп звезда Џеј Чоу власник украденог НФТ-а вредног 550 хиљада долара. Дисцорд профил је компромитован у оба наврата, што је омогућило нападу да постави пхисхинг линкове на званичне канале.
Заштита веб2 инфраструктуре везане за веб3
Постоје решења која се пуштају у покушају да се изборе са проблемом веб локација за превару. Већина главних антивирусних алата користи библиотеке сајтова са црне листе да би помогли корисницима да прегледају интернет. Међутим, брзина и учесталост превара значе да ови алати можда нису увек потпуно ажурни. Цхроме проширење тзв Валлет Гуард покушава да реши овај проблем у веб3 простору.
Валлет Гуард је рекао ЦриптоСлате:
„Немају сви техничку позадину нити су били предуго у простору… наша екстензија никада не додирује ваш новчаник, већ само треба да зна домен који покушавате да посетите.“
Алат је означио УРЛ сајта за пхисхинг објављену на БорисВагнеровом Дисцорд налогу и могао је помоћи инвеститорима да одлуче да ли треба да верују линку.
Међутим, чак ни алати као што је овај нису нерањиви. Софистицирани преварант би теоретски могао да уђе у званични Дисцорд сервер, а да истовремено нападне сајт као што је Валлет Гуард како би изгледао као легитиман сајт. Међутим, не очекује се да ниједан алат буде 100% нерањив на све нападе. Било који начин на који инвеститори могу да смање шансе да постану жртве преваре треба охрабрити.
Ипак, свака пхисхинг превара напада превару блоцкцхаин пројекта и долази преко веб2 везе са блоцкцхаин пројектом. Додавање веб3 функционалности веб2 технологији као што је Дисцорд могло би драматично повећати њену сигурност.
ЦриптоСлате обратио се Борису Вагнеру за коментар, али није добио одговор.
Извор: хттпс://цриптослате.цом/боред-апе-иацхт-цлуб-дисцорд-сервер-бреацхед-цаусинг-200-етх-32-нфтс-ин-лоссес/