Discord сыяктуу Web2 тиркемелери кайрадан блокчейн долбоорлорунун арсеналындагы алсыз шилтеме болуп чыкты. Bored Ape Yacht клубунун Discord сервери бузулгандан кийин инвесторлордун эсептеринен 175тен ашуун ETH чыгарылды. 2022-жылдын январында Yuga Labs үчүн социалдык медиага көтөрүлгөн @BorisVagner анын Discord аккаунту бузулган. Андан кийин чабуулчу Yuga Labs Discord сервериндеги БорисВагнердин расмий аккаунту аркылуу фишингдик шилтемелерди жайгаштыра алган.
Шилтеме окурмандарды фишинг сайтына кирүүдөн коргоо үчүн оңдолгон. BAYC акыры билдирүүсүн биринчи жолу жарыялангандан 9 сааттан кийин жарыялады билдирип,
"Биздин Discord серверлери бүгүн кыскача пайдаланылды. Команда аны тез арада кармап, чечишти. Болжол менен 200 ETH наркы NFTs таасир эткен көрүнөт. Биз дагы эле иликтеп жатабыз, бирок сизге таасир эткен болсо, бизге электрондук кат жазыңыз [электрондук почта корголгон]«
Билдирүүдө команда "тез арада чечилди" деп билдирди жана мүчөлөрү тарабынан жоголгон жалпы бааны 200 ETH катары тастыктады. Бүгүнкү күндө бул 354 миң доллар дээрлик эч убакта жок болуп кетти. Бул маселени коомчулукка жеткирүүнүн шашылыш эместиги жана жарыянын кыскалыгы Yuga Labs компаниясынын көңүлүн калтырган элементин көрсөтүп турат.
Коомчулуктун башкаргычынын аккаунту бузулду.
Ылайык Peckshield, "32 NFT уурдалган, анын ичинде 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" бузууну алгач OKHotshot билдирген. шопурлуктан, "@BorisVagner өзүнүн аккаунтун бузуп алды, бул алдамчыларга фишингдик чабуулду ишке ашырууга мүмкүндүк берди. 145Еден ашык уурдалган. OKHotshot Бул 354 миң доллардын тегерегинде экенин бизге гана айтты.
«Миллиондогон киреше алып келе турган ар бир долбоор үчүн коопсуздуктун тийиштүү ыкмаларын сактоо керек. Айрыкча, долбоор рыноктун эң мыкты 10уна кирсе. Коопсуздук боюнча менеджердин жоктугу бул тобокелдикти бир топ жогорулатат."
OKHotshot коопсуздук менеджери муну алдын алмак деп эсептейт, анткени "алар коопсуздук практикасын, команда саясатын жөнгө салып, алардын сакталышын камсыз кылышмак. Команданын бир дагы мүчөсү өзүнүн түз билдирүүлөрүн ачпашы керек, шилтемелерди чыкылдатып же бир нече мисалдарды берүү үчүн башка серверлердеги негизги аккаунттарын колдонушу керек. Yuga Labs бар бир нече жумуш ролдору жеткиликтүү, бирок коопсуздук ролдору жандуу жок.
Коомчулуктун реакциясы
Крипто коомчулугу Reddit колдонуучусу u/naji102 жарыялаган жип аркылуу да бул маселе боюнча үн катты. Колдонуучулар расмий булактардан келген шылуундардын көбөйүшүнө байланыштуу NFTтерге болгон ишенимдин төмөндөшүн талкуулашты. u/XnoonefromnowhereX: "Кабарда кызыл желек болушу керек болгон грамматикалык каталар бар" деп комментарийледи, ал эми u/CrimsonFox99 боорукердик менен: "Аларды бул жагынан күнөөлөө кыйын, айрыкча ишенимдүү булактан алынган".
Twitter колдонуучусу OpenSea жана LooksRare менен байланышты жалбаруу «Мен жөн эле жасалма гоблин дооматын чыккам. 2 МАЙК жана 8 салкын мышыктар уурдалган. …жардам бериңизчи. Алар менден баарын уурдап кетишти». Уурунун аккаунттарын тоңдуруу демилгесин колдогон башка колдонуучулардан чалуулар түшкөн. Көп учурда децентрализация инвесторлорго борборлоштурулган колдоого муктаж болмоюнча гана колдоого алынат окшойт.
BAYC Discord мурда бузулган
Бул Discord серверинин биринчи жолу эмес бузулган. Сервер 2022-жылдын апрелинде бузулуп, MAYC №8662 уурдалган. The окуя уланды Кийинчерээк белгилүү болгондой, Тайвандык поп-супер жылдыз Джей Чоу 550 миң долларлык уурдалган NFTтин ээси экени белгилүү болгон. Дискорд профили эки жолу тең бузулуп, чабуулга фишингдик шилтемелерди расмий каналдарга жайгаштырууга мүмкүндүк берген.
web2 менен байланышкан web3 инфраструктурасын коргоо
Алдамчылык веб-сайттардын көйгөйү менен күрөшүү үчүн чыгарылган чечимдер бар. Көпчүлүк негизги антивирус куралдары колдонуучуларга интернетти карап чыгууга жардам берүү үчүн кара тизмедеги сайттардын китепканаларын колдонушат. Бирок, алдамчылыктын ылдамдыгы жана жыштыгы бул инструменттер дайыма эле толук жаңылана бербейт дегенди билдирет. Chrome кеңейтүүсү деп аталат Wallet Guard web3 мейкиндигинде бул көйгөйдү чечүүгө аракет кылат.
Wallet Guard CryptoSlate мындай деди:
"Баары эле техникалык билимге ээ эмес жана бул мейкиндикте өтө көп убакыт болгон эмес... биздин кеңейтүү капчыгыңызга эч качан тийбейт, ал сиз барууга аракет кылып жаткан доменди билиши керек."
Бул курал БорисВагнердин Discord аккаунтуна жайгаштырылган фишинг сайтынын URL дарегин белгилеп, инвесторлорго шилтемеге ишенүү керекпи же жокпу, чечүүгө жардам бериши мүмкүн.
Бирок, бул сыяктуу аспаптар да кол тийбес эмес. Татаал шылуун теориялык жактан расмий Discord серверине кирип, ошол эле учурда Wallet Guard сыяктуу сайтка чабуул жасап, аны мыйзамдуу сайт катары көрсөтүшү мүмкүн. Бирок, эч кандай курал бардык кол салууларга 100% кол тийбестиги күтүлөт. Инвесторлор алдамчылыктын курмандыгы болуу мүмкүнчүлүгүн азайта турган кандай гана жол менен болбосун кубаттоо керек.
Ошентсе да, ар бир фишинг шылуундугу blockchain долбоорунун алдамчылыгына кол салат, ал blockchain долбооруна web2 байланышы аркылуу келет. Discord сыяктуу web3 технологиясына web2 функциясын кошуу анын коопсуздугун кескин жогорулатат.
из cryptoslat комментарий алуу үчүн Борис Вагнерге кайрылды, бирок жооп алган жок.
Булак: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/