Aplikasi Web2 seperti Discord sekali lagi terbukti menjadi mata rantai yang lemah dalam gudang proyek-proyek blockchain. Lebih dari 175 ETH telah dikuras dari akun investor setelah server Discord klub Bored Ape Yacht dilanggar. @BorisVagner, yang baru dipromosikan ke Media Sosial untuk Yuga Labs pada Januari 2022, akun Discord-nya dilanggar. Penyerang kemudian dapat memposting tautan phishing melalui akun resmi BorisVagner di server Yuga Labs Discord.
Tautan telah disunting untuk melindungi pembaca agar tidak mengunjungi situs phishing. BAYC akhirnya merilis pernyataan 9 jam setelah pertama kali dilaporkan menyatakan,
“Server Discord kami dieksploitasi secara singkat hari ini. Tim menangkap dan mengatasinya dengan cepat. Sekitar 200 NFT senilai ETH tampaknya telah terpengaruh. Kami masih menyelidiki, tetapi jika Anda terpengaruh, kirimkan email kepada kami di [email dilindungi]"
Pernyataan tersebut melaporkan bahwa tim “mengatasinya dengan cepat” dan mengkonfirmasi nilai total yang hilang oleh anggota sebagai 200 ETH. Pada nilai hari ini yang $354k hilang dalam waktu yang hampir tidak ada. Kurangnya urgensi dalam melaporkan masalah ini kepada komunitasnya dan singkatnya pengumuman menunjukkan unsur kepuasan diri oleh Yuga Labs.
Akun Community Manager disusupi.
Menurut Peckshield, “32 NFT dicuri, termasuk 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC” Pelanggaran itu awalnya dilaporkan oleh OKHotshot, yang tweeted, “@BorisVagner membuat akunnya dilanggar, yang memungkinkan para scammer melakukan serangan phishing mereka. Lebih dari 145E di dicuri. ” Oke memberi tahu kami secara eksklusif bahwa harganya sekitar $354k.
“Praktik keamanan yang tepat harus ditegakkan untuk setiap proyek yang menghasilkan jutaan pendapatan. Apalagi jika proyek tersebut masuk dalam 10 besar pasar. Tidak memiliki manajer keamanan meningkatkan risiko itu secara signifikan.”
OKHotshot percaya seorang manajer keamanan dapat mencegah ini karena “mereka akan menangani praktik keamanan perselisihan, kebijakan tim, dan memastikan mereka ditegakkan. Tidak ada anggota tim yang membuka pesan langsung mereka, mengklik tautan atau menggunakan akun utama mereka di server lain hanya untuk memberikan beberapa contoh.” Yuga Labs memiliki beberapa peran pekerjaan tersedia, tetapi tidak ada peran keamanan yang aktif.
Reaksi komunitas
Komunitas crypto juga vokal tentang masalah ini melalui utas yang diposting oleh pengguna Reddit u/naji102. Pengguna membahas penurunan kepercayaan untuk NFT karena peningkatan penipuan yang bahkan berasal dari sumber resmi. u/XnoonefromnowhereX berkomentar, "Pesan tersebut memiliki kesalahan tata bahasa yang seharusnya menjadi tanda bahaya," sementara u/CrimsonFox99 dengan empati menyatakan, "Sulit untuk menyalahkan mereka pada bagian itu, terutama yang berasal dari sumber yang dianggap tepercaya."
Seorang pengguna Twitter menghubungi OpenSea dan LooksRare permohonan “Saya baru saja mengklik klaim goblin palsu. 2 MAYC dan 8 kucing keren dicuri. … tolong bantu. Mereka mencuri segalanya dariku.” Panggilan datang dari pengguna lain yang mendukung inisiatif untuk membekukan akun pencuri. Tampaknya seringkali desentralisasi hanya didukung sampai investor membutuhkan dukungan terpusat.
BAYC Discord dikompromikan sebelumnya
Ini bukan pertama kalinya server Discord telah dikompromikan. Server diretas pada April 2022, dengan MAYC #8662 dicuri. Itu cerita lanjutan karena kemudian diketahui bahwa superstar pop Taiwan Jay Chou adalah pemilik NFT curian senilai $550k. Profil Discord dikompromikan pada kedua kesempatan, memungkinkan serangan memposting tautan phishing ke saluran resmi.
Melindungi infrastruktur web2 yang terkait dengan web3
Ada solusi yang dirilis untuk mencoba memerangi masalah situs web scam. Sebagian besar alat antivirus utama menggunakan perpustakaan situs yang masuk daftar hitam untuk membantu pengguna menjelajahi internet. Namun, kecepatan dan frekuensi penipuan berarti bahwa alat ini mungkin tidak selalu benar-benar mutakhir. Ekstensi chrome yang disebut Penjaga Dompet mencoba untuk memecahkan masalah ini di ruang web3.
Wallet Guard memberi tahu CryptoSlate:
“Tidak semua orang memiliki latar belakang teknis atau sudah terlalu lama berada di luar angkasa… ekstensi kami tidak pernah menyentuh dompet Anda, hanya perlu mengetahui domain yang Anda coba kunjungi.”
Alat tersebut menandai URL situs phishing yang diposting ke akun Discord BorisVagner dan dapat membantu investor dalam memutuskan apakah mereka harus mempercayai tautan tersebut.
Namun, bahkan alat seperti ini tidak kebal. Seorang scammer yang canggih secara teoritis dapat masuk ke server Discord resmi sambil juga menyerang situs seperti Wallet Guard untuk membuatnya tampak sebagai situs yang sah. Namun, tidak ada alat yang diharapkan 100% kebal terhadap semua serangan. Cara apa pun yang dapat dilakukan investor untuk mengurangi kemungkinan mereka menjadi korban penipuan harus didorong.
Namun, setiap penipuan phishing menyerang penipuan proyek blockchain yang datang melalui koneksi web2 ke proyek blockchain. Menambahkan fungsionalitas web3 ke teknologi web2 seperti Discord dapat meningkatkan keamanannya secara dramatis.
KriptoSlate menghubungi BorisVagner untuk memberikan komentar tetapi tidak menerima tanggapan.
Sumber: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/