Web2 აპლიკაციები, როგორიცაა Discord, კვლავ გამოჩნდა, როგორც სუსტი რგოლი ბლოკჩეინის პროექტების არსენალში. 175-ზე მეტი ETH დაიწია ინვესტორების ანგარიშებიდან Bored Ape Yacht Club Discord სერვერის დარღვევის შემდეგ. @BorisVagner, რომელიც მხოლოდ 2022 წლის იანვარში დაწინაურდა სოციალურ მედიაში Yuga Labs-ისთვის, დაირღვა მისი Discord ანგარიში. შემდეგ თავდამსხმელს შეეძლო ფიშინგის ბმულების გამოქვეყნება BorisVagner-ის ოფიციალური ანგარიშის მეშვეობით Yuga Labs Discord სერვერზე.
ბმული დამუშავებულია, რათა დაიცვას მკითხველები ფიშინგის საიტის მონახულებისგან. BAYC-მა საბოლოოდ გამოაქვეყნა განცხადება ამის შესახებ პირველად 9 საათის შემდეგ აცხადებს,
”ჩვენი Discord სერვერები მოკლედ იქნა გამოყენებული დღეს. გუნდმა დაიჭირა და სწრაფად მიმართა. დაახლოებით 200 ETH ღირებულების NFT-ზე, როგორც ჩანს, დაზარალდა. ჩვენ ჯერ კიდევ ვიძიებთ, მაგრამ თუ თქვენ დაზარალდით, მოგვწერეთ ელ [ელ.ფოსტით დაცულია]"
განცხადებაში ნათქვამია, რომ გუნდმა „სწრაფად მიმართა“ და დაადასტურა წევრების მიერ დაკარგული მთლიანი ღირებულება, როგორც 200 ETH. დღევანდელი ღირებულებით, ეს არის $354 გაქრა თითქმის უმოკლეს დროში. გადაუდებელი აუცილებლობა ამ საკითხის საზოგადოებასთან შეტყობინებით და განცხადების სიზუსტე მიუთითებს Yuga Labs-ის თვითკმაყოფილების ელემენტზე.
საზოგადოების მენეჯერის ანგარიში გატეხილია.
მიხედვით პეჩშილდი, „32 NFT მოიპარეს, მათ შორის 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC“ დარღვევის შესახებ თავდაპირველად იტყობინება OKHotshot, რომელიც tweeted, “@BorisVagner-მა დაირღვა მისი ანგარიში, რამაც თაღლითებს საშუალება მისცა განახორციელონ ფიშინგ შეტევა. მოიპარეს 145E-ზე მეტი. OKHotshot გვითხრა ექსკლუზიურად, რომ ეს არის დაახლოებით $354 ათასი.
„უსაფრთხოების სათანადო პრაქტიკა უნდა იყოს დაცული ნებისმიერი პროექტისთვის, რომელიც მილიონობით შემოსავალს მოაქვს. მით უმეტეს, თუ პროექტი ბაზრის ტოპ 10-შია. უსაფრთხოების მენეჯერის არ ყოლა ამ რისკს მნიშვნელოვნად ზრდის“.
OKHotshot თვლის, რომ უსაფრთხოების მენეჯერს შეეძლო ამის თავიდან აცილება, რადგან „ისინი გაუმკლავდნენ უთანხმოების უსაფრთხოების პრაქტიკებს, გუნდის პოლიტიკას და დარწმუნდნენ, რომ ისინი დაცულია. გუნდის არცერთ წევრს არ უნდა ჰქონდეს თავისი პირდაპირი შეტყობინებები ღია, დააწკაპუნოს ბმულებზე ან გამოიყენოს თავისი ძირითადი ანგარიშები სხვა სერვერებზე მხოლოდ რამდენიმე მაგალითის მოსაყვანად. Yuga Labs-ს აქვს რამდენიმე სამუშაო როლი ხელმისაწვდომია, მაგრამ უსაფრთხოების როლები არ არის ცოცხალი.
საზოგადოების რეაქცია
კრიპტო-საზოგადოება ასევე ხმამაღლა საუბრობდა ამ საკითხზე Reddit-ის მომხმარებლის u/naji102-ის მიერ გამოქვეყნებული თემით. მომხმარებლებმა განიხილეს NFT-ების მიმართ ნდობის შემცირება, თაღლითების გაზრდის გამო, რომლებიც ოფიციალური წყაროებიდანაც კი მოდის. u/XnoonefromnowhereX-მა დააკომენტარა: „მესიჯს ჰქონდა გრამატიკული შეცდომები, რომლებიც წითელი დროშა უნდა ყოფილიყო“, ხოლო u/CrimsonFox99 თანაგრძნობით თქვა: „ძნელია მათი დადანაშაულება ამ მხრივ, განსაკუთრებით სავარაუდო სანდო წყაროდან“.
Twitter-ის მომხმარებელმა მიმართა OpenSea-ს და LooksRare-ს ვედრება ”მე უბრალოდ დავაწკაპუნე ყალბი გობლინის პრეტენზიაზე. 2 MAYC და 8 მაგარი კატა მოიპარეს. … გთხოვთ დავეხმაროთ. მათ ყველაფერი მომპარეს“. მოწოდებები მოვიდა სხვა მომხმარებლებისგან, რომლებიც მხარს უჭერდნენ ქურდის ანგარიშების გაყინვის ინიციატივას. როგორც ჩანს, ხშირად დეცენტრალიზაცია მხოლოდ იქამდეა მხარდაჭერილი, სანამ ინვესტორებს არ დასჭირდებათ ცენტრალიზებული მხარდაჭერა.
BAYC Discord კომპრომეტირებული იყო ადრე
ეს არ არის პირველი შემთხვევა, როდესაც Discord სერვერი იყო კომპრომეტირებული. სერვერი გატეხეს 2022 წლის აპრილში, MAYC #8662 მოიპარეს. The ამბავი გაგრძელდა როგორც მოგვიანებით გახდა ცნობილი, რომ ტაივანის პოპ-ვარსკვლავი ჯეი ჩოუ იყო 550 ათასი დოლარის ღირებულების მოპარული NFT-ის მფლობელი. Discord-ის პროფილი დაზიანდა ორივე შემთხვევაში, რაც საშუალებას აძლევდა თავდასხმას გამოექვეყნებინა ფიშინგის ბმულები ოფიციალურ არხებზე.
web2 ინფრასტრუქტურის დაცვა web3-თან მიბმული
გამოშვებულია გადაწყვეტილებები თაღლითური ვებსაიტების პრობლემის წინააღმდეგ ბრძოლის მცდელობისთვის. ანტივირუსული საშუალებების უმეტესობა იყენებს შავ სიაში შეყვანილი საიტების ბიბლიოთეკებს, რათა დაეხმაროს მომხმარებლებს ინტერნეტში დათვალიერებაში. თუმცა, თაღლითების სიჩქარე და სიხშირე ნიშნავს, რომ ეს ხელსაწყოები შეიძლება ყოველთვის არ იყოს სრულად განახლებული. ქრომის გაფართოება ე.წ საფულის მცველი ცდილობს ამ პრობლემის გადაჭრას web3 სივრცეში.
საფულის მცველმა უთხრა CryptoSlate-ს:
„ყველას არ აქვს ტექნიკური გამოცდილება და არც დიდი ხნის განმავლობაში იმყოფებოდა სივრცეში… ჩვენი გაფართოება არასოდეს ეხება თქვენს საფულეს, მას მხოლოდ უნდა იცოდეს დომენი, რომლის მონახულებასაც ცდილობთ“.
ხელსაწყო მონიშნულია BorisVagner's Discord-ის ანგარიშზე გამოქვეყნებული ფიშინგის საიტის URL და შეეძლო დაეხმარა ინვესტორებს გადაეწყვიტათ, ენდობოდნენ თუ არა ბმულს.
თუმცა, ასეთი ხელსაწყოებიც კი არ არის დაუცველი. დახვეწილი თაღლითი შეიძლება თეორიულად მოხვდეს Discord-ის ოფიციალურ სერვერზე და ასევე შეუტიოს საიტს, როგორიცაა Wallet Guard, რათა ის ლეგიტიმურ საიტად გამოჩნდეს. თუმცა, მოსალოდნელია, რომ არც ერთი ინსტრუმენტი არ იქნება 100% დაუცველი ყველა შეტევისგან. ნებისმიერი გზა, რომელიც ინვესტორებს შეუძლიათ შეამცირონ თაღლითობის მსხვერპლად გახდომის შანსი, წახალისებული უნდა იყოს.
მიუხედავად ამისა, ყოველი ფიშინგის თაღლითობა თავს ესხმის ბლოკჩეინის პროექტის თაღლითობას, ეს ხდება ბლოკჩეინის პროექტთან web2 კავშირის მეშვეობით. web3 ფუნქციების დამატება web2 ტექნოლოგიაზე, როგორიცაა Discord, შეიძლება მკვეთრად გაზარდოს მისი უსაფრთხოება.
CryptoSlate კომენტარისთვის დაუკავშირდა ბორისვაგნერს, მაგრამ პასუხი არ მიუღია.
წყარო: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/