- Server perselisihan BAYC resmi telah diretas hari ini.
- Laporan mengungkapkan bahwa satu MAYC telah dicuri.
- Eksploitasi serupa telah ditemukan di beberapa saluran perselisihan NFT lainnya.
Menurut informasi dari akun Twitter terverifikasi BAYC, saluran Discord komunitas sempat disusupi. Saat ini, hanya satu MAYC yang telah dicuri.
Detail Eksploitasi
Peretas sebelumnya hari ini berhasil mengkompromikan alat tiket di saluran perselisihan BAYC yang bertanggung jawab atas verifikasi dan pemberitahuan pengguna. Dengan ini, penipu mengirim pesan yang meminta pengguna untuk mempertaruhkan NFT mereka untuk hadiah di token asli Yuga Labs, ApeCoin.
@zachxbt, penyelidik on-chain, pertama melaporkan hack di Twitter, mengungkapkan bahwa satu MAYC telah dicuri. Beberapa menit kemudian, peretasan dikonfirmasi oleh BAYC menggunakan akun Twitter resmi mereka; itu menciak Baca, "JAGA KESELAMATAN. Jangan mencetak apa pun dari Discord apa pun sekarang. Webhook di Discord kami sempat disusupi. Kami segera menangkapnya, tetapi perlu diketahui: kami tidak melakukan stealth mint/airdrop April Mop, dll. Discord lainnya juga sedang diserang sekarang.”
Pakar keamanan dan pengkodean Discord, yang menggunakan nama samaran Serpent, sejak itu melemparkan topinya ke atas ring untuk membantu BAYC mendapatkan kembali kendali penuh atas server mereka. Beberapa jam setelah konfirmasi peretasan, Serpent berbagi kode untuk membantu pengembang menyingkirkan bug yang disisipkan oleh peretas.
Ternyata, saluran perselisihan BAYC bukan satu-satunya yang menjadi sasaran para peretas. @zachxbt mengonfirmasi bahwa eksploitasi yang sama sedang dimainkan di banyak saluran NFT lainnya, termasuk server Doodles, Shamanz, dan Nyoki. Saat memeriksa situs web phishing, @zachxbt diungkapkan bahwa mereka sangat mirip dan kemungkinan besar upaya satu kelompok.
Pembaruan dari utas @zachxbt mengungkapkan bahwa layanan hosting web Namecheap telah menangguhkan situs web yang diidentifikasi. Alamat yang digunakan oleh peretas juga telah diidentifikasi dan ditandai di Etherscan. BAYC belum mengkonfirmasi apakah ancaman tersebut telah dinetralisir.
Peretasan Perselisihan
Peretasan perselisihan telah menjadi sangat umum di ruang NFT karena platform ini mendukung banyak komunitas NFT; sering menjadi sasaran. Magus Devon, pemimpin komunitas crypto, menyatakan frustrasi atas banyak kekurangan keamanan Discord dalam sebuah tweet sebagai tanggapan atas kejadian hari ini. milik Devon menciak Baca baca:
“Sangat membenci keamanan discord yang mengerikan dan kurangnya alat yang disediakan untuk admin server untuk manajemen. Rasanya aneh bahwa kami harus terus-menerus mengandalkan semua bot pihak ketiga ini hanya untuk mendapatkan perlindungan tingkat dasar bagi pengguna kami.”
Pada bulan Desember, peretasan perselisihan melihat peretas mendapatkan 7000 Solana senilai sekitar $ 1.3 juta pada saat itu menggunakan trik phishing. Peretas melanggar server Discord dari Monkey Kingdom, koleksi NFT yang diluncurkan oleh pengusaha Hong Kong. Pemegang NFT harus diingatkan bahwa proyek tidak akan mengirimi mereka pesan langsung dan berhati-hatilah saat mengklik tautan yang dikirimkan kepada mereka.
Sumber: https://zycrypto.com/bored-ape-yacht-clubs-discord-briefly-compromised/