Bored Ape Yacht Club Discord 服務器遭到破壞，導致 200 ETH 32 NFT 損失

Discord 等 Web2 應用程式再次被證明是區塊鏈專案庫中的弱點。 在 Bored Ape Yacht 俱樂部 Discord 伺服器遭到破壞後，超過 175 ETH 已從投資者帳戶中被盜走。 @BorisVagner 於 2022 年 XNUMX 月才晉升為 Yuga Labs 社群媒體職位，他的 Discord 帳號遭到洩露。 然後，攻擊者能夠透過 Yuga Labs Discord 伺服器上的 BorisVagner 官方帳戶發佈網路釣魚連結。

該連結已被編輯，以防止讀者訪問該網絡釣魚網站。 BAYC在首次報導後9小時終於發布聲明 說明

“我們的 Discord 服務器今天被短暫利用。 團隊迅速發現並解決了這個問題。 價值約 200 ETH 的 NFT 似乎受到了影響。 我們仍在調查，但如果您受到影響，請給我們發電子郵件： [電子郵件保護]“

聲明稱，該團隊“迅速解決了這個問題”，並確認會員損失的總價值為 200 ETH。 以今天的價值計算，354 萬美元幾乎很快就消失了。 向社區報告此事的緊迫性以及公告的簡短表明了 Yuga Labs 的自滿。

社群管理員帳號遭到外洩。

根據 防風罩，「32 個 NFT 被盜，包括 1 個 #BAYC、2 個 #MAYC、5 個 #Otherdeed、1 個 #BAKC” 該違規行為最初由 OKHotshot 報告，該公司 啾啾，「@BorisVagner 的帳戶被盜，這使得詐騙者可以執行網路釣魚攻擊。 超過 145E 被盜。” OK熱點 獨家告訴我們，價格約為 354 萬美元。

「對於任何收入數百萬美元的專案都應該堅持適當的安全實踐。 特別是如果該項目位於市場前十名。 沒有安全經理會大大增加這種風險。”

OKHotshot 認為安全經理本可以阻止這種情況，因為「他們會處理不一致的安全實踐和團隊政策，並確保它們得到維護。 任何團隊成員都不應該打開直接訊息、點擊連結或使用其他伺服器上的主要帳戶，只是為了舉幾個例子。” Yuga 實驗室有 多個工作角色 可用，但沒有即時的安全角色。

社區反應

加密社群也透過 Reddit 用戶 u/naji102 發布的貼文表達了這個問題。 用戶討論了由於甚至來自官方來源的騙局增加而導致對 NFT 信任度的下降。 u/XnoonefromnowhereX 評論道，“該消息存在語法錯誤，本應是一個危險信號”，而 u/CrimsonFox99 則同情地表示，“很難責怪他們，尤其是來自所謂的可信來源。”

一位 Twitter 用戶聯繫了 OpenSea 和 LooksRare 懇求 「我剛剛點擊了一個假妖精聲明。 2 輛 MAYC 和 8 輛酷貓被盜。 … 請幫忙。 他們偷走了我的一切。” 其他用戶也紛紛打來電話，支持凍結竊賊帳號的措施。 似乎通常只有在投資者需要集中支持時才會支持去中心化。

BAYC Discord 之前曾經受到損害

這不是 Discord 伺服器第一次出現 妥協。 伺服器於 2022 年 8662 月遭到駭客攻擊，MAYC #XNUMX 被盜。 這 故事繼續 後來人們知道，台灣流行巨星周傑倫是被盜價值 550 萬美元的 NFT 的所有者。 Discord 設定檔在這兩次事件中都遭到破壞，使攻擊能夠將網路釣魚連結發佈到官方管道上。

保護與 web2 相關的 web3 基礎設施

目前正在發布一些解決方案來嘗試解決詐騙網站的問題。 大多數主要的防毒工具都使用黑名單網站庫來幫助使用者瀏覽網路。 然而，詐騙的速度和頻率意味著這些工具可能並不總是完全最新的。 一個名為的 Chrome 擴展 錢包衛士 試圖在 web3 空間中解決這個問題。

Wallet Guard 告訴 CryptoSlate：

“並不是每個人都有技術背景，也不是在這個領域工作太久……我們的擴充功能永遠不會觸及您的錢包，它只需要知道您嘗試訪問的網域。”

該工具標記了發佈到 BorisVagner 的 Discord 帳戶的網路釣魚網站的 URL，可以幫助投資者決定是否應該信任該連結。

然而，即使是這樣的工具也並非無懈可擊。 從理論上講，老練的騙子可以進入官方 Discord 伺服器，同時攻擊 Wallet Guard 等網站，使其看起來像是合法網站。” 然而，沒有任何工具能夠 100% 免受所有攻擊。 任何可以減少投資者成為詐欺受害者的機會的方式都應該受到鼓勵。

儘管如此，每個網路釣魚騙局都會透過與區塊鏈項目的 web2 連接來攻擊區塊鏈項目騙局。 將 Web3 功能新增至 Web2 技術（例如 Discord）可以顯著提高其安全性。

CryptoSlate 聯繫鮑里斯·瓦格納徵求意見，但沒有收到回應。