Web2 հավելվածները, ինչպիսին է Discord-ն է, կրկին ցուցադրվել է որպես թույլ օղակ բլոկչեյն նախագծերի զինանոցում: Ավելի քան 175 ETH հեռացվել է ներդրողների հաշիվներից Bored Ape Yacht Club Discord սերվերի խախտումից հետո: @BorisVagner-ը, ով միայն 2022 թվականի հունվարին բարձրացվել է Սոցիալական մեդիա Յուգա լաբորատորիաների համար, խախտվել է նրա Discord հաշիվը: Այնուհետև հարձակվողը կարողացել է ֆիշինգի հղումներ տեղադրել BorisVagner-ի պաշտոնական հաշվի միջոցով Yuga Labs Discord սերվերում:
Հղումը խմբագրվել է՝ պաշտպանելու ընթերցողներին ֆիշինգի կայք այցելելուց: BAYC-ը վերջապես հայտարարություն է տարածել առաջին անգամ հաղորդվելուց 9 ժամ անց նշելով,
«Մեր Discord սերվերները այսօր կարճ ժամանակով շահագործվեցին: Թիմը բռնեց և արագ անդրադարձավ դրան: Մոտ 200 ETH արժողությամբ NFT-ներ, ըստ երևույթին, ազդվել են: Մենք դեռ հետաքննում ենք, բայց եթե ձեր վրա ազդել են, գրեք մեզ էլ [էլեկտրոնային փոստով պաշտպանված]"
Հայտարարության մեջ նշվում է, որ թիմը «արագ անդրադարձել է դրան» և հաստատել անդամների կորցրած ընդհանուր արժեքը որպես 200 ETH: Այսօրվա արժեքով, որը կազմում է $354, գրեթե անհետացել է ընդհանրապես: Խնդրի մասին իր համայնքին զեկուցելու հրատապության բացակայությունը և հայտարարության հակիրճությունը հուշում են Yuga Labs-ի կողմից ինքնագոհության տարր:
Համայնքի կառավարչի հաշիվը վտանգված է:
Ըստ Peckshield, «Գողացվել է 32 NFT, այդ թվում՝ 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC» Խախտման մասին ի սկզբանե հայտնել էր OKHotshot-ը, որը. tweeted, «@BorisVagner-ը խախտեց իր հաշիվը, ինչը թույլ տվեց խաբեբաներին իրականացնել իրենց ֆիշինգային հարձակումը: Գողացել են ավելի քան 145E in: OKHotshot մեզ բացառապես ասաց, որ այն կազմում է մոտ 354 հազար դոլար:
«Անվտանգության պատշաճ գործելակերպը պետք է պահպանվի միլիոնավոր եկամուտներ ունեցող ցանկացած ծրագրի համար: Հատկապես, եթե նախագիծը գտնվում է շուկայի լավագույն 10-յակում։ Անվտանգության մենեջեր չունենալը զգալիորեն մեծացնում է այդ ռիսկը»:
OKHotshot-ը կարծում է, որ անվտանգության մենեջերը կարող էր կանխել դա, քանի որ «նրանք կկարգավորեին հակասությունների անվտանգության պրակտիկաները, թիմի քաղաքականությունը և կհամոզվեին, որ դրանք պահպանվում են: Թիմի ոչ մի անդամ չպետք է բաց թողնի իր անմիջական հաղորդագրությունները, սեղմի հղումների վրա կամ օգտագործի իր հիմնական հաշիվները այլ սերվերների վրա, պարզապես մի քանի օրինակներ տալու համար»: Յուգա լաբորատորիաներն ունեն մի քանի աշխատանքային դերեր հասանելի է, բայց անվտանգության դերեր չկան:
Համայնքի արձագանքը
Կրիպտո համայնքը նույնպես բարձրաձայնում էր խնդրի մասին Reddit-ի u/naji102 օգտատիրոջ կողմից հրապարակված թեմայի միջոցով: Օգտատերերը քննարկել են NFT-ների նկատմամբ վստահության անկումը` պայմանավորված խարդախությունների աճով, որոնք նույնիսկ գալիս են պաշտոնական աղբյուրներից: u/XnoonefromnowhereX-ը մեկնաբանել է. «Ուղերձում առկա էին քերականական սխալներ, որոնք պետք է լինեին կարմիր դրոշակ», մինչդեռ u/CrimsonFox99-ը կարեկցաբար ասաց. «Դժվար է մեղադրել նրանց այդ մասով, հատկապես ենթադրյալ վստահելի աղբյուրից»:
Twitter-ի օգտատերերից մեկը դիմել է OpenSea-ին և LooksRare-ին աղաչելով «Ես պարզապես սեղմեցի կեղծ գոբլինի պնդումը: Գողացել են 2 MAYC և 8 թույն կատու. … խնդրում ենք օգնել. Ինձնից ամեն ինչ գողացան»։ Գողերի հաշիվները սառեցնելու նախաձեռնությանն աջակցող այլ օգտատերերից զանգեր են հնչել։ Թվում է, որ հաճախ ապակենտրոնացումը աջակցվում է միայն այնքան ժամանակ, քանի դեռ ներդրողները կենտրոնացված աջակցության կարիք չունեն:
BAYC Discord-ը նախկինում խախտվել է
Discord սերվերը առաջին անգամը չէ գաղտնալսված. Սերվերը կոտրվել է 2022 թվականի ապրիլին, MAYC #8662-ը գողացվել է: Այն պատմությունը շարունակվեց քանի որ ավելի ուշ հայտնի դարձավ, որ 550 հազար դոլար արժողությամբ գողացված NFT-ի տերն է եղել թայվանցի փոփ գերաստղ Ջեյ Չոուն: Discord-ի պրոֆիլը երկու դեպքում էլ վտանգվել է, ինչը թույլ է տվել հարձակմանը ֆիշինգի հղումներ տեղադրել պաշտոնական ալիքների վրա:
Web2 ենթակառուցվածքի պաշտպանություն՝ կապված web3-ի հետ
Կան լուծումներ, որոնք թողարկվում են խարդախության կայքերի խնդրի դեմ պայքարելու համար: Հիմնական հակավիրուսային գործիքներից շատերը օգտագործում են սև ցուցակում հայտնված կայքերի գրադարանները՝ օգտատերերին ինտերնետ զննելու հարցում օգնելու համար: Այնուամենայնիվ, խարդախությունների արագությունն ու հաճախականությունը նշանակում են, որ այդ գործիքները միշտ չէ, որ կարող են լիովին արդիական լինել: Chrome-ի ընդլայնումը կոչվում է Դրամապանակ պահակ փորձում է լուծել այս խնդիրը web3 տարածքում:
Wallet Guard-ը CryptoSlate-ին ասաց.
«Ոչ բոլորն ունեն տեխնիկական նախապատմություն, ոչ էլ երկար են եղել տարածքում… մեր ընդլայնումը երբեք չի դիպչում ձեր դրամապանակին, այն միայն պետք է իմանա այն տիրույթը, որը դուք փորձում եք այցելել»:
Գործիքը նշել է BorisVagner's Discord հաշվում տեղադրված ֆիշինգի կայքի URL-ը և կարող էր օգնել ներդրողներին որոշել, թե արդյոք նրանք պետք է վստահեն հղմանը:
Այնուամենայնիվ, նույնիսկ նման գործիքներն անխոցելի չեն: Բարդ խարդախը տեսականորեն կարող է մտնել պաշտոնական Discord սերվեր՝ միաժամանակ հարձակվելով Wallet Guard-ի նման կայքի վրա, որպեսզի այն օրինական կայք թվա»: Այնուամենայնիվ, ակնկալվում է, որ ոչ մի գործիք 100% անխոցելի կլինի բոլոր հարձակումների համար: Պետք է խրախուսվի ներդրողների կողմից խարդախության զոհ դառնալու հավանականությունը նվազեցնելու ցանկացած ձև:
Այնուամենայնիվ, յուրաքանչյուր ֆիշինգային խարդախություն հարձակվում է բլոկչեյն նախագծի խարդախության վրա, այն գալիս է բլոկչեյն նախագծին web2 կապի միջոցով: Web3 ֆունկցիոնալության ավելացումը web2 տեխնոլոգիային, ինչպիսին Discord-ն է, կարող է կտրուկ բարձրացնել դրա անվտանգությունը:
CryptoSlate- ը Մեկնաբանության համար դիմեց ԲորիսՎագներին, բայց պատասխան չստացավ:
Աղբյուր՝ https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/