वेब2 एप्लिकेशन जैसे डिस्कॉर्ड को फिर से ब्लॉकचैन परियोजनाओं के शस्त्रागार में कमजोर कड़ी के रूप में दिखाया गया है। बोरेड एप यॉट क्लब डिस्कॉर्ड सर्वर के टूटने के बाद निवेशकों के खातों से 175 से अधिक ईटीएच निकाल दिए गए हैं। @BorisVagner, जिन्हें जनवरी 2022 में केवल युग लैब्स के लिए सोशल मीडिया पर पदोन्नत किया गया था, उनके डिस्कॉर्ड खाते का उल्लंघन हुआ था। हमलावर तब युग लैब्स डिस्कॉर्ड सर्वर पर बोरिस वैग्नर के आधिकारिक खाते के माध्यम से फ़िशिंग लिंक पोस्ट करने में सक्षम था।
पाठकों को फ़िशिंग साइट पर जाने से बचाने के लिए लिंक को संशोधित किया गया है। BAYC ने पहली बार रिपोर्ट किए जाने के 9 घंटे बाद आखिरकार एक बयान जारी किया बताते हुए,
"हमारे डिस्कॉर्ड सर्वरों का आज संक्षिप्त रूप से शोषण किया गया। टीम ने इसे पकड़ा और जल्दी से संबोधित किया। ऐसा प्रतीत होता है कि लगभग 200 ईटीएच मूल्य के एनएफटी प्रभावित हुए हैं। हम अभी भी जांच कर रहे हैं, लेकिन यदि आप प्रभावित हुए हैं, तो हमें यहां ईमेल करें [ईमेल संरक्षित]"
बयान में बताया गया है कि टीम ने "इसे जल्दी से संबोधित किया" और सदस्यों द्वारा 200 ईटीएच के रूप में खोए गए कुल मूल्य की पुष्टि की। आज के मूल्य पर जो कि $354k है, लगभग कुछ ही समय में चला गया। अपने समुदाय को मामले की रिपोर्ट करने में तात्कालिकता की कमी और घोषणा की संक्षिप्तता युग लैब्स द्वारा शालीनता के एक तत्व का सुझाव देती है।
समुदाय प्रबंधक खाते से छेड़छाड़ की गई।
के अनुसार पीकशील्ड, "32 एनएफटी चोरी हो गए, जिनमें 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" शामिल हैं। ट्वीट किए, “@BorisVagner ने अपने खाते में सेंध लगाई, जिससे स्कैमर्स अपने फ़िशिंग हमले को अंजाम दे सके। 145E से अधिक चोरी हो गया था।" ओकेहॉटशॉट हमें विशेष रूप से बताया कि यह लगभग $354k है।
“लाखों का राजस्व करने वाली किसी भी परियोजना के लिए उचित सुरक्षा प्रथाओं को बरकरार रखा जाना चाहिए। खासकर अगर प्रोजेक्ट बाजार के टॉप 10 में है। सुरक्षा प्रबंधक न होने से यह जोखिम काफी बढ़ जाता है।"
OKHotshot का मानना है कि एक सुरक्षा प्रबंधक इसे रोक सकता था क्योंकि "वे कलह सुरक्षा प्रथाओं, टीम नीति को संभालेंगे, और सुनिश्चित करेंगे कि उन्हें बरकरार रखा गया है। किसी भी टीम के सदस्य को अपने सीधे संदेश खुले नहीं होने चाहिए, लिंक पर क्लिक करना चाहिए या अन्य सर्वरों पर अपने मुख्य खातों का उपयोग करना चाहिए ताकि वे कुछ उदाहरण दे सकें।" युग लैब्स ने कई नौकरी भूमिकाएं उपलब्ध है, लेकिन कोई सुरक्षा भूमिका लाइव नहीं है।
सामुदायिक प्रतिक्रिया
Reddit उपयोगकर्ता u/naji102 द्वारा पोस्ट किए गए थ्रेड के माध्यम से क्रिप्टो समुदाय भी इस मुद्दे के बारे में मुखर था। उपयोगकर्ताओं ने आधिकारिक स्रोतों से आने वाले घोटालों में वृद्धि के कारण एनएफटी के लिए विश्वास में गिरावट पर चर्चा की। u/XnoonefromnowhereX ने टिप्पणी की, "संदेश में व्याकरण संबंधी त्रुटियां थीं जो एक लाल झंडा होना चाहिए था," जबकि u/CrimsonFox99 ने सहानुभूतिपूर्वक कहा, "उस हिस्से पर उन्हें दोष देना मुश्किल है, विशेष रूप से एक कथित विश्वसनीय स्रोत से आ रहा है।"
एक ट्विटर उपयोगकर्ता ने OpenSea और LookRare से संपर्क किया सिफ़ारिश “मैंने अभी एक नकली भूत के दावे पर क्लिक किया है। 2 MAYC और 8 कूल बिल्लियाँ चोरी हो गईं। … कृपया सहायता कीजिए। उन्होंने मेरा सब कुछ चुरा लिया।" चोर के खातों को फ्रीज करने की पहल का समर्थन करने वाले अन्य उपयोगकर्ताओं से कॉल आए। ऐसा लगता है कि अक्सर विकेंद्रीकरण का समर्थन केवल तब तक किया जाता है जब तक कि निवेशकों को केंद्रीकृत समर्थन की आवश्यकता न हो।
BAYC डिस्कॉर्ड ने पहले समझौता किया
यह पहली बार नहीं है जब डिस्कॉर्ड सर्वर किया गया है समझौता किया. सर्वर को अप्रैल 2022 में हैक कर लिया गया था, जिसमें MAYC #8662 चोरी हो गया था। कहानी जारी जैसा कि बाद में पता चला कि ताइवान के पॉप सुपरस्टार जय चाउ 550k डॉलर की चोरी की गई NFT के मालिक थे। दोनों अवसरों पर एक डिस्कॉर्ड प्रोफ़ाइल से समझौता किया गया था, जिससे हमले को आधिकारिक चैनलों पर फ़िशिंग लिंक पोस्ट करने की अनुमति मिली।
web2 से जुड़ी web3 अवसंरचना की सुरक्षा करना
स्कैम वेबसाइटों की समस्या से निपटने के प्रयास के लिए समाधान जारी किए जा रहे हैं। अधिकांश प्रमुख एंटीवायरस उपकरण इंटरनेट ब्राउज़ करने में उपयोगकर्ताओं की सहायता करने के लिए ब्लैक लिस्टेड साइटों के पुस्तकालयों का उपयोग करते हैं। हालांकि, घोटालों की गति और आवृत्ति का मतलब है कि ये उपकरण हमेशा पूरी तरह से अप टू डेट नहीं हो सकते हैं। क्रोम एक्सटेंशन कहा जाता है वॉलेट गार्ड वेब3 स्पेस में इस समस्या को हल करने का प्रयास करता है।
वॉलेट गार्ड ने क्रिप्टोस्लेट को बताया:
"हर किसी के पास तकनीकी पृष्ठभूमि नहीं होती है और न ही वह बहुत लंबे समय तक अंतरिक्ष में रहा है ... हमारा एक्सटेंशन कभी भी आपके बटुए को नहीं छूता है, इसे केवल उस डोमेन को जानने की जरूरत है जिस पर आप जाने का प्रयास कर रहे हैं।"
टूल ने बोरिसवैग्नर के डिस्कॉर्ड खाते में पोस्ट की गई फ़िशिंग साइट के URL को फ़्लैग किया और निवेशकों को यह तय करने में सहायता कर सकता था कि क्या उन्हें लिंक पर भरोसा करना चाहिए।
हालाँकि, इस तरह के उपकरण भी अजेय नहीं हैं। एक परिष्कृत स्कैमर सैद्धांतिक रूप से एक आधिकारिक डिस्कॉर्ड सर्वर में प्रवेश कर सकता है, जबकि वॉलेट गार्ड जैसी साइट पर भी हमला कर सकता है ताकि यह एक वैध साइट हो। हालांकि, किसी भी उपकरण के सभी हमलों के लिए 100% अभेद्य होने की उम्मीद नहीं है। किसी भी तरह से निवेशकों को धोखाधड़ी का शिकार होने की संभावना को कम करने के लिए प्रोत्साहित किया जाना चाहिए।
फिर भी, प्रत्येक फ़िशिंग घोटाला एक ब्लॉकचैन प्रोजेक्ट स्कैम पर हमला करता है जो कि ब्लॉकचैन प्रोजेक्ट के लिए एक वेब 2 कनेक्शन के माध्यम से आता है। वेब3 तकनीक जैसे डिस्कॉर्ड में वेब2 कार्यक्षमता जोड़ने से इसकी सुरक्षा नाटकीय रूप से बढ़ सकती है।
क्रिप्टोकरंसीज टिप्पणी के लिए बोरिस वैगनर के पास पहुंचे लेकिन उन्हें कोई प्रतिक्रिया नहीं मिली।
स्रोत: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/