Discord зэрэг Web2 програмууд блокчейн төслүүдийн арсенал дахь сул холбоос болох нь дахин нотлогдсон. Bored Ape Yacht клубын Discord серверийг зөрчсөний дараа хөрөнгө оруулагчдын данснаас 175 гаруй ETH урссан байна. Дөнгөж 2022 оны XNUMX-р сард Юга лабораторийн нийгмийн сүлжээнд дэвшсэн @BorisVagner-ийн Discord дансыг нь зөрчсөн байна. Дараа нь халдагч Yuga Labs Discord сервер дээр БорисВагнерын албан ёсны бүртгэлээр дамжуулан фишинг холбоосыг нийтлэх боломжтой болсон.
Уншигчдыг фишинг сайт руу зочлохоос хамгаалах үүднээс холбоосыг засварласан. BAYC энэ тухай анх мэдээлснээс хойш 9 цагийн дараа мэдэгдлээ гэж хэлэх,
“Өнөөдөр манай Discord серверүүдийг богино хугацаанд ашигласан. Багийнхан үүнийг хурдан барьж, шийдвэрлэсэн. Ойролцоогоор 200 ETH үнэ цэнэтэй NFT-д нөлөөлсөн бололтой. Бид мөрдөн байцаалтын ажиллагаа явуулсаар байгаа ч хэрэв танд нөлөөлсөн бол бидэнд имэйл илгээнэ үү [имэйлээр хамгаалагдсан]"
Мэдэгдэлд баг "үүнийг хурдан шийдвэрлэсэн" гэж мэдээлсэн бөгөөд гишүүдийн алдсан нийт үнэ цэнийг 200 ETH гэж баталгаажуулсан. Өнөөдрийн үнэлэмжээр 354 мянган доллар бараг богино хугацаанд алга болсон. Асуудлыг нийгэмдээ яаралтай мэдээлэх шаардлагагүй, зарлалын товч мэдээлэл нь Юга лабораторийн сэтгэл ханамжийн элементийг харуулж байна.
Олон нийтийн менежерийн бүртгэл алдагдсан.
дагуу Peckshield, “32 NFT хулгайлагдсан, үүнд 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC” Зөрчлийг OKHotshot анх мэдээлсэн. tweeted, "@BorisVagner өөрийн бүртгэлийг зөрчсөн тул луйварчид фишинг халдлага хийх боломжтой болсон. 145E-аас дээш хувийг хулгайлсан байна." OKHotshot Энэ нь ойролцоогоор 354 мянган доллар гэж бидэнд онцгойлон хэлсэн.
“Сая сая орлоготой аливаа төсөлд аюулгүй байдлын зохих арга барилыг баримтлах ёстой. Ялангуяа төсөл нь зах зээлийн эхний 10-т багтсан бол. Аюулгүй байдлын менежергүй байх нь эрсдэлийг ихээхэн нэмэгдүүлдэг."
OKHotshot аюулгүй байдлын менежер үүнийг урьдчилан сэргийлж чадна гэж үзэж байна, учир нь "тэд аюулгүй байдлын практик, багийн бодлогыг зөрчиж, тэдгээрийг дагаж мөрдөх ёстой. Багийн нэг ч гишүүн шууд мессежээ нээж, холбоос дээр дарж эсвэл бусад серверүүд дээрх үндсэн бүртгэлээ ашиглан хэдхэн жишээ өгөх ёсгүй." Yuga лабораторид байдаг хэд хэдэн ажлын үүрэг боломжтой боловч аюулгүй байдлын ямар ч үүрэг байхгүй.
Олон нийтийн хариу үйлдэл
Reddit хэрэглэгч u/naji102-ийн нийтэлсэн утсаар крипто нийгэмлэг ч мөн энэ асуудлын талаар дуугарч байсан. Албан ёсны эх сурвалжаас авсан залилан мэхлэлт ихэссэнтэй холбоотойгоор хэрэглэгчид NFT-д итгэх итгэл буурсан талаар ярилцав. u/XnoonefromnowhereX "Мессеж нь улаан дарцаг байх ёстой дүрмийн алдаатай байсан" гэж тайлбарласан бол u/CrimsonFox99 "Тэднийг энэ талаар буруутгахад хэцүү, ялангуяа итгэмжлэгдсэн эх сурвалжаас ирсэн" гэж эмзэглэсэн байна.
Твиттер хэрэглэгч OpenSea болон LooksRare руу хандсан гуйж байна "Би зүгээр л хуурамч гоблины мэдэгдлийг дарсан. 2 MAYC, 8 сэрүүн муур хулгайлагдсан. … туслаач. Тэд надаас бүх зүйлийг хулгайлсан." Хулгайчийн дансыг царцаах санаачлагыг дэмжсэн бусад хэрэглэгчдээс дуудлага иржээ. Хөрөнгө оруулагчдад төвлөрсөн дэмжлэг хэрэгтэй болох хүртэл төвлөрлийг сааруулах нь ихэвчлэн дэмжигддэг юм шиг санагддаг.
BAYC Discord өмнө нь эвдэрсэн
Энэ нь Discord серверийн анхны тохиолдол биш юм буулт хийсэн. 2022 оны 8662-р сард серверийг хакердаж, MAYC # XNUMX хулгайлсан. The түүх үргэлжилсэн Тайваний поп од Жэй Чоу хулгайлагдсан 550 мянган долларын үнэ бүхий NFT-ийн эзэн байсан нь хожим тодорхой болсон. Discord профайл хоёр удаа эвдэрсэн тул халдлагад фишинг холбоосыг албан ёсны суваг дээр нийтлэх боломжийг олгосон.
web2-тай холбогдсон web3 дэд бүтцийг хамгаалах
Луйврын вэбсайтуудын асуудалтай тэмцэхийн тулд шийдлүүд гарч байна. Ихэнх вирусны эсрэг хэрэгслүүд нь хар жагсаалтад орсон сайтуудын сангуудыг ашиглан хэрэглэгчдийг интернетээр аялахад нь тусалдаг. Гэсэн хэдий ч залилан мэхлэх хурд, давтамж нь эдгээр хэрэгслүүд нь үргэлж шинэчлэгдэхгүй байж магадгүй гэсэн үг юм. Chrome өргөтгөл гэж нэрлэдэг Түрийвч хамгаалагч web3 орон зайд энэ асуудлыг шийдэхийг оролддог.
Wallet Guard CryptoSlate-д хэлэхдээ:
"Хүн бүр техникийн мэдлэгтэй байдаггүй бөгөөд энэ орон зайд хэтэрхий удаан ажиллаж байгаагүй ... манай өргөтгөл таны хэтэвчийг хэзээ ч хөндөхгүй, зөвхөн таны зочлох гэж буй домэйныг мэдэхэд л хангалттай."
Энэхүү хэрэгсэл нь БорисВагнерын Discord дансанд байршуулсан фишинг сайтын URL-г тэмдэглэсэн бөгөөд хөрөнгө оруулагчдад холбоост итгэх эсэхээ шийдэхэд нь тусалж чадна.
Гэсэн хэдий ч ийм хэрэгсэл ч халдашгүй биш юм. Нарийвчилсан луйварчин онолын хувьд албан ёсны Discord серверт нэвтэрч, Wallet Guard гэх мэт сайтыг хууль ёсны сайт мэт харагдуулахын тулд дайрч болно." Гэсэн хэдий ч ямар ч хэрэгсэл бүх халдлагад 100% халдашгүй байх төлөвтэй байна. Хөрөнгө оруулагчид залилангийн хохирогч болох магадлалыг бууруулах ямар ч арга замыг дэмжих хэрэгтэй.
Гэсэн хэдий ч фишинг луйвар бүр блокчэйн төсөлтэй web2 холболтоор дамждаг блокчэйн төслийн луйврыг дайрдаг. Discord зэрэг web3 технологид web2 функцийг нэмэх нь түүний аюулгүй байдлыг эрс нэмэгдүүлэх болно.
CryptoSlate програм Борис Вагнераас тайлбар авахаар хандсан боловч хариу ирүүлээгүй.
Эх сурвалж: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/