es
Volver a la lista

Se vulneró el servidor Bored Ape Yacht Club Discord causando pérdidas de 200 ETH 32 NFT

source-logo  es.bitcoinethereumnews.com  + 5 más 05 Junio 2022 05:49, UTC

Se ha demostrado nuevamente que las aplicaciones Web2 como Discord son el eslabón débil en el arsenal de proyectos de blockchain. Se han extraído más de 175 ETH de las cuentas de los inversores después de que se violara el servidor Discord del Bored Ape Yacht club. @BorisVagner, quien solo fue promovido a las redes sociales para Yuga Labs en enero de 2022, violó su cuenta de Discord. Luego, el atacante pudo publicar enlaces de phishing a través de la cuenta oficial de BorisVagner en el servidor Discord de Yuga Labs.

Fuente: Twitter

El enlace ha sido redactado para evitar que los lectores visiten el sitio de phishing. BAYC finalmente emitió una declaración 9 horas después de que se informara por primera vez. declarando

“Nuestros servidores de Discord fueron explotados brevemente hoy. El equipo lo atrapó y lo abordó rápidamente. Parece que se han visto afectados unos 200 ETH en NFT. Todavía estamos investigando, pero si se vio afectado, envíenos un correo electrónico a [correo electrónico protegido]"

El comunicado informó que el equipo "lo abordó rápidamente" y confirmó que el valor total perdido por los miembros era de 200 ETH. Al valor de hoy, son $354 que se han ido en muy poco tiempo. La falta de urgencia en informar el asunto a su comunidad y la brevedad del anuncio sugiere un elemento de complacencia por parte de Yuga Labs.

Cuenta de Community Manager comprometida.

Según Peckshield, "Se robaron 32 NFT, incluidos 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC". La violación fue denunciada inicialmente por OKHotshot, quien tuiteó, “@BorisVagner violó su cuenta, lo que permitió a los estafadores ejecutar su ataque de phishing. Se robaron más de 145E”. OKHotshot nos dijo en exclusiva que ronda los $354k.

“Se deben mantener prácticas de seguridad adecuadas para cualquier proyecto que genere millones en ingresos. Sobre todo si el proyecto está en el top 10 del mercado. No tener un administrador de seguridad aumenta significativamente ese riesgo”.

OKHotshot cree que un gerente de seguridad podría haber evitado esto, ya que “manejarían las prácticas de seguridad de discordia, la política del equipo y se asegurarían de que se cumplan. Ningún miembro del equipo debe tener sus mensajes directos abiertos, hacer clic en enlaces o usar sus cuentas principales en otros servidores solo para dar algunos ejemplos”. Yuga Labs tiene varios puestos de trabajo disponible, pero no hay roles de seguridad en vivo.

Reacción de la comunidad

La comunidad criptográfica también expresó su opinión sobre el problema a través de un hilo publicado por el usuario de Reddit u/naji102. Los usuarios discutieron la caída de la confianza en las NFT debido al aumento de las estafas que incluso provienen de fuentes oficiales. u/XnoonefromnowhereX comentó: “El mensaje tenía errores gramaticales que deberían haber sido una señal de alerta”, mientras que u/CrimsonFox99 declaró con empatía: “Es difícil culparlos por esa parte, especialmente viniendo de una supuesta fuente confiable”.

Un usuario de Twitter contactó a OpenSea y LooksRare alegato “Acabo de hacer clic en un reclamo de goblin falso. Se robaron 2 MAYC y 8 ​​cool cats. … por favor ayuda. Me robaron todo”. Llegaron llamadas de otros usuarios apoyando la iniciativa de congelar las cuentas del ladrón. Parece que, a menudo, la descentralización solo se admite hasta que los inversores necesitan un apoyo centralizado.

BAYC Discord comprometido antes

Esta no es la primera vez que el servidor Discord ha sido comprometida. El servidor fue pirateado en abril de 2022 y se robó MAYC # 8662. los continuación de la historia como más tarde se supo que la superestrella del pop taiwanés Jay Chou era el propietario del NFT robado por un valor de $ 550k. Un perfil de Discord se vio comprometido en ambas ocasiones, lo que permitió que el ataque publicara enlaces de phishing en los canales oficiales.

Protección de la infraestructura web2 vinculada a web3

Se están lanzando soluciones para intentar combatir el problema de los sitios web fraudulentos. La mayoría de las principales herramientas antivirus utilizan bibliotecas de sitios en la lista negra para ayudar a los usuarios a navegar por Internet. Sin embargo, la velocidad y la frecuencia de las estafas hacen que estas herramientas no siempre estén completamente actualizadas. Una extensión de Chrome llamada Protector de billetera intenta resolver este problema en el espacio web3.

Wallet Guard le dijo a CryptoSlate:

"No todos tienen experiencia técnica ni han estado en el espacio demasiado tiempo... nuestra extensión nunca toca su billetera, solo necesita saber el dominio que está intentando visitar".

La herramienta marcó la URL del sitio de phishing publicado en la cuenta Discord de BorisVagner y podría haber ayudado a los inversores a decidir si debían confiar en el enlace.

Sin embargo, incluso herramientas como esta no son invulnerables. En teoría, un estafador sofisticado podría ingresar a un servidor oficial de Discord y al mismo tiempo atacar un sitio como Wallet Guard para que parezca un sitio legítimo”. Sin embargo, no se espera que ninguna herramienta sea 100% invulnerable a todos los ataques. Se debe alentar cualquier forma en que los inversores puedan reducir la posibilidad de que sean víctimas de fraude.

Aún así, cada estafa de phishing ataca una estafa de proyecto de cadena de bloques que llega a través de una conexión web2 al proyecto de cadena de bloques. Agregar la funcionalidad web3 a la tecnología web2 como Discord podría aumentar drásticamente su seguridad.

es.bitcoinethereumnews.com

Noticias relacionadas (5)
Añadir noticias similares