Офіційний Instagram акаунт BAYC зламаний, вкрадений NFT на $13,7 млн

У понеділок, 25 квітня 2022 року, хакери отримали повний контроль над офіційним Instagram акаунтом Bored Ape Yacht Сlub (BAYC). Фішингове захоплення призвело до того, що користувачі втратили 91 NFT із зображеннями мавп, мутантів і псів на суму близько $13,7 млн, виходячи з мінімальної ціни цифрових активів.

Хакер використав обліковий запис Instagram, щоб запустити підроблений ейрдроп та розмістити фальшиве посилання на підроблений веб-сайт. Для отримання ейрдропа, від користувачів потрібно підписати транзакцію, відому як "safeTransferFrom", у результаті якої NFT відправилися на гаманець хакера. Злодій ретельно спланував цю атаку, щоб прив'язати її до гри у метавсесвіті від Yuga Labs під назвою "OthersideMeta". На підробленому веб-сайті містилася несправжня інформація про те, що розробник Bored Ape компанія Yuga Labs роздавала безкоштовну NFT-землю свого майбутнього метавсесвіту Otherside.

Зі свого боку, команда Bored Yacht Ape Club опублікувала твіт, у якому спростувала цю інформацію та стверджувала, що вони не координували такі дії і що це був злом. “Сьогодні карбування не буде. Акаунт BAYC в Instagram був зламаний. Нічого не карбуйте, не натискайте ні на які посилання і ні до чого не підключайте свій гаманець.”

На жаль, ця інформація прийшла запізно, і до відповіді багато інвесторів втратили свої NFT в результаті цієї атаки.

Джерело: Твіттер @melbo.et

Процес злому

Вже підтверджено, що хакер підключив свій гаманець NFT до фальшивого посилання на мінтинг, яке він надав в обліковому записі, який поєднував користувачів з веб-сайтом схожим на BAYC, де він відображав неправдиву інформацію про ейрдроп. Згідно з оголошенням на підробленому веб-сайті, кожен, хто прив'язав свій гаманець до Metamask або Ethereum, отримає безкоштовний ейрдроп віртуальної ділянки землі, навіть якщо у них не було BAYC. Ця земля знаходилася у майбутньому проекті метавсесвіту від BAYC під назвою “OthersideMeta”, запуск якого запланований на 30 квітня 2022 року компанією Yuga Labs.

Співзасновник Yuga labs, @CryptoGarga, у своєму Твіттері прокоментував інцидент:

“У результаті злому IG було вкрадено 4 мавпи, 6 мутантів, 3 собаки та деякі інші цінні NFT. Ми зв'яжемося із постраждалими користувачами та пізніше опублікуємо результати розслідування. Також я хотів би наголосити, що для облікового запису використовувалася двофакторна автентифікація.”

Досі невідомо, як хакер отримав доступ до облікового запису із включеною двофакторною автентифікацією — механізмом безпеки, який мав зробити несанкціонований доступ практично неможливим. Проте, за словами команди BAYC, зараз вони працюють з Instagram і розслідують інцидент, а також планують зв'язатися з тими, хто втратив свої NFT. Згідно з їхнім внутрішнім звітом, було вкрадено меншу кількість NFT.

Докладніше розслідування, яке провів позаштатний криптодослідник @zachxbt, показало, що у період злому на гаманець хакера було переведено 91 NFT, включаючи 3 BAKC, 4 BAYC, 7 MAYC, 1 CloneX та інші NFT. За допомогою свого ончейн аналізу він відстежив як хакер переміщав вкрадені NFT на три різні централізовані біржові гаманці.

Це не перший подібний інцидент на BAYC. Минулого разу це сталося 1 квітня, коли було зламано дискорд-канал проекту. Деякі члени спільноти вважали, що після того випадку команда мала посилити безпеку своїх соціальних мереж по всіх напрямках. Крім того, проект заявив, що надалі не анонсуватиме жодних важливих новинв Instagram.

Як BAYC планує підвищувати безпеку

У березні Yuga Labs запустила процедуру KYC, яка була сприйнята спільнотою негативно. Тим не менш, команда заявила, що це важливо для просування компанії на наступний рівень та розвитку за рамки номінального проекту NFT. Ми вважаємо, що завдяки таким ініціативам Yuga Labs зможе захистити членів своєї спільноти від майбутніх атак з боку шахраїв.

Висновок

Автор: дослідник Gate.io Olatunji M.

*Ця стаття містить лише точку зору дослідників і не є посібником з інвестування.

*Всі права на текст цієї статті належать Gate.io. Репост цієї статті буде дозволено у разі зазначення Gate.io як джерело. В іншому випадку буде переслідуватись юридична відповідальність у зв'язку з порушенням авторських прав.