Les applications Web2 telles que Discord se sont en fait révélées une fois de plus être le point faible de l’arsenal des tâches de la blockchain. Plus de 175 ETH ont été drainés des comptes des investisseurs après la violation du serveur Discord du club de yacht Bored Ape Private. @BorisVagner, qui vient d’être promu sur le réseau social pour Yuga Labs en janvier 2022, a vu son compte Discord piraté. L’agresseur a ensuite pu publier des liens de phishing via le compte principal de Boris Vagner sur le serveur Discord de Yuga Labs.
Source : Twitter
Le lien a en fait été modifié pour empêcher les lecteurs de consulter le site Web de phishing. BAYC a finalement publié une déclaration 9 heures après avoir été signalée pour la première fois,
« Nos serveurs Discord ont été rapidement exploités aujourd’hui. L’équipe l’a capturé et résolu rapidement. Environ 200 ETH de NFT semblent avoir Nous sommes toujours en train d’examiner, mais si vous avez été affecté, envoyez-nous un e-mail à [email protected]
La déclaration a indiqué que le groupe « l’a résolu rapidement » et a validé la valeur totale perdue par membres en tant que 200 ETH. À la valeur d’aujourd’hui, 354 000 $ sont entrés pratiquement en un rien de temps. L’absence d’urgence à signaler l’affaire à sa communauté et la brièveté de l’annonce suggèrent un aspect de complaisance de la part de Yuga Labs.
Compte Community Manager mis en péril.
Selon Peckshield, « 32 NFT ont été pris, dont 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC » La faille a d’abord été signalée par OKHotshot, qui a tweeté, « @BorisVagner a vu son compte piraté, ce qui a permis aux escrocs d’exécuter leur phi attaque de pêche. Plus de 145 E ont été prélevés. » OKHotshot nous a dit en exclusivité qu’il s’agissait d’environ 354 000 $.
« Des pratiques de sécurité correctes doivent être promues pour tout travail faisant des millions de profits. Surtout si la tâche est dans le top 10 du marché. Ne pas avoir de superviseur de la sécurité augmente considérablement cette menace. »
OKHotshot pense qu’un superviseur de la sécurité aurait pu éviter cela car « il traiterait les pratiques de sécurité discordantes, la politique de groupe et s’assurerait qu’elles sont respectées . Aucun membre de l’équipe ne doit ouvrir ses messages directs, cliquer sur des liens ou utiliser son compte principal sur d’autres serveurs, juste pour donner quelques exemples. » Yuga Labs a un certain nombre de rôles de tâches disponibles, mais aucune fonction de sécurité n’est active.
Réaction de la communauté
Le quartier crypto chantait également l’inquiétude par le biais d’un fil de discussion publié par l’utilisateur Reddit u/naji102. Les utilisateurs ont dépassé la baisse de confiance pour les NFT en raison de l’augmentation des escroqueries qui en sont même à l’origine de sources officielles. u/XnoonefromnowhereX a commenté : « Le message contenait des erreurs grammaticales qui devaient être un drapeau rouge », tandis que u/CrimsonFox99 a mentionné avec empathie : « Difficile de les blâmer pour cette partie, en particulier venant d’une source fiable attendue. »
Un utilisateur de Twitter connecté à OpenSea et LooksRare plaidant « Je viens de cliquer sur une fausse revendication de gobelin. 2 MAYC et 8 félins cool ont été volés. … s’il vous plaît aider. Ils m’ont pris n’importe quoi. » Les appels provenaient d’autres utilisateurs soutenant l’initiative de geler les comptes du voleur. Il semble que souvent la décentralisation n’est prise en charge que jusqu’à ce que les financiers aient besoin d’une assistance centralisée.
BAYC Discord a déjà été compromis
Ce n’est pas la première fois que le serveur Discord est compromis. Le serveur a été piraté en avril 2022, avec le vol de MAYC # 8662. L’histoire s’est poursuivie, car il a ensuite été compris que la super star de la pop taïwanaise Jay Chou en était le propriétaire. du NFT volé d’une valeur de 550 000 $. Un profil Discord a été compromis lors des deux célébrations, permettant à l’attaque de publier des liens de phishing sur les canaux des autorités.
Sécurisation de l’infrastructure Web2 liée à Web3
Il y a solutions publiées pour tenter de lutter contre le problème des sites Web frauduleux. La majorité des principaux outils antivirus utilisent des bibliothèques de sites Web sur liste noire pour aider les utilisateurs à effectuer des recherches sur le Web. La vitesse et la fréquence des fraudes suggèrent que ces outils peuvent ne pas être constamment totalement à jour. Une extension chrome appelée Wallet Guard tente de résoudre ce problème dans la zone web3.
Wallet Guard a déclaré à CryptoSlate :
« Tout le monde n’a pas de formation technique ni n’a été dans le zone trop longue… notre extension ne touche jamais votre portefeuille, elle a juste besoin de comprendre le domaine que vous essayez de visiter. »
L’outil a signalé l’URL du site Web de phishing publié sur Le compte Discord de BorisVagner et aurait peut-être aidé les investisseurs à décider s’ils devaient faire confiance au lien.
Cependant, même des outils comme celui-ci ne sont pas invulnérables. Un fraudeur avancé pourrait en théorie entrer dans un serveur Discord principal tout en attaquant un site comme Wallet Guard pour le faire apparaître comme un site légitime. » Aucun outil n’est prévu pour être 100% invulnérable à toutes les attaques. Toute méthode que les financiers peuvent réduire le risque qu’ils succombent à la fraude doit être encouragée.
Pourtant, chaque escroquerie par hameçonnage attaque une escroquerie de projet blockchain, elle passe par une connexion Web2 à la tâche blockchain. L’ajout de performances Web3 à une innovation Web2 telle que Discord pourrait considérablement augmenter sa sécurité.
CryptoSlate a contacté BorisVagner pour une remarque, mais n’a pas reçu de réponse.
Obtenez un avantage sur le marché de la cryptographie Devenez membre de CryptoSlate Edge et accédez à notre communauté Discord unique, à plus de matériel et d’analyse spéciaux.
Analyse en chaîne
Notez les photos
Plus de contexte
Analyse en chaîne
Notez les photos
Plus de contexte
Inscrivez-vous avec maintenant pour 19 $/mois Découvrez tous les avantages
.
Toute l’actualité en temps réel, est sur L’Entrepreneur