NFTs, Crypto Wedi'i Dwyn Ar ôl Hacio Twitter Prif Swyddog Gweithredol Web3 Hapchwarae Gabriel Leydon

Sgamiau cyfryngau cymdeithasol yn ffynnu yn y gofod crypto, a NFT mae casglwyr yn colli eu hasedau i ymosodiadau a gyflawnir trwy gyfrifon wedi'u herwgipio. Digwyddodd yr enghraifft ddiweddaraf neithiwr, gyda dwsinau o NFTs a gwerth tua $30,000 o arian cyfred digidol wedi'u dwyn trwy sgam a rennir trwy gyfrif cwmni adnabyddus Web3 datblygwr gêm.

Ddydd Mercher, mae cyfrif Twitter o Gabriel Leydon—cyd-sylfaenydd a Phrif Swyddog Gweithredol Limit Break, y cychwyniad hapchwarae y tu ôl i anime-ysbrydoledig Ethereum prosiect NFT, DigiDaigaku—mae'n debyg iddo gael ei gymryd drosodd gan ddefnyddiwr anawdurdodedig. Aeth y cyfrif ymlaen i rannu dolen i'r hyn oedd cael ei bilio fel mynediad i restr ganiatadau i sicrhau bathdy ar gyfer NFT DigiDaigaku am ddim.

Yn lle hynny, pan fydd defnyddwyr yn rhyngweithio â'r wefan ac yn cymeradwyo'r trafodiad a ysgogwyd gan y contract smart—hynny yw, y cod sy'n rhoi pwerau i NFTs ac ymreolaethol apiau datganoledig—yn lle hynny fe wnaeth ymosodwr ddwyn NFTs a cryptocurrency o'u priod waledi. Ni all trydydd parti wrthdroi trafodion a wneir ar rwydweithiau blockchain, fel y byddai banc neu gwmni cerdyn credyd yn ei wneud pe bai twyll neu ladrad.

Fe wnaeth yr ymosodwr bylu dwsinau o NFTs gan ddefnyddwyr, a allai fod yn werth degau o filoedd o ddoleri o Ethereum i gyd. Y mwyaf gwerthfawr ohonynt o bell ffordd oedd a Clwb Hwylio Mutant Ape NFT, y mae'r ymosodwr yn gyflym gwerthu am 12.39 ETH (tua $19,100 ar y pryd). Yn ogystal, mae'n ymddangos bod gan y waled wedi cymryd gwerth tua $30,000 o crypto gan ddefnyddwyr.

Ers hynny mae Leydon wedi adennill ei gyfrif Twitter ac wedi tynnu sylw at y bai ar y cludwr symudol AT&T mewn neges llais a rennir trwy drydar. Mewn neges uniongyrchol i Dadgryptio, Honnodd Leydon fod gweithiwr AT&T “wedi diystyru fy holl amddiffyniadau diogelwch ac wedi perfformio [cyfnewid] SIM heb awdurdod.”

Yn nodweddiadol, defnyddir ymosodiad cyfnewid SIM i osgoi protocolau awdurdodi dau ffactor ar gyfrifon. Gall yr ymosodwr gymryd drosodd y rhif ffôn symudol dan sylw, ac yna ei ddefnyddio i gael mynediad at gyfrifon gwarchodedig - gan gynnwys cyfryngau cymdeithasol, lle gallant wedyn ddynwared perchennog y cyfrif.

Honnodd Leydon fod gweithiwr “wedi mynd o gwmpas” amddiffyniadau a osodwyd i’w gyfrif AT&T, a dywedodd fod Limit Break mewn cysylltiad â’r cwmni ynghylch yr honiadau. Ni ddychwelodd cynrychiolwyr AT&T ar unwaith DadgryptioCais am sylwadau.

Dywedodd Prif Swyddog Gweithredol Limit Break Dadgryptio bod y stiwdio yn ymchwilio i'r ymosodiad, ac y bydd yn gweithio i gynorthwyo defnyddwyr y cafodd eu hasedau eu dwyn. “Mae’n sefyllfa ofnadwy, ac ar ôl i ni wirio yr ymosodwyd ar y person, byddwn yn helpu’r person hwnnw,” meddai Leydon.

Trydarodd ZachXBT, ymchwilydd blockchain ffug-enw adnabyddus, ei bod yn ymddangos bod yr ymosodiad yn gysylltiedig â Monkey Drainer, sgamiwr sydd wedi bod yn ddiweddar wedi cipio gwerth miliynau o ddoleri o NFTs ac asedau crypto.

Mae Twitter wedi bod dan warchae gan ymosodiadau tebyg dros y misoedd diwethaf. Mewn rhai achosion, caiff cyfrif artist neu greawdwr prosiect nodedig NFT ei hacio a'i ddefnyddio i ledaenu'r sgamiau “draeniwr waled” hyn a elwir yn sgamiau. Mae cynnydd y sgamiau hyn wedi ysgogi dadl dros y cyfrifoldeb sydd gan grewyr Web3 i ddigolledu defnyddwyr sy'n colli eu hasedau o ganlyniad.

Ar adegau eraill, mae cyfrifon dilys defnyddwyr digyswllt - megis newyddiadurwyr - wedi cael eu herwgipio, eu hailfrandio fel cyfrifon prosiect swyddogol, a ddefnyddir i ledaenu campau. Digwyddodd hynny’n amlach yn gynharach eleni, yn enwedig o ran prosiectau fel Azuki ac ochr arall, ond mae'n ymddangos bod Twitter wedi mynd i'r afael â pha bynnag dwll diogelwch a hwylusodd y gorchestion cyfrif dilys hynny.

Sefydlwyd Limit Break yn 2021 gan Leydon a Halbert Nakagawa, a oedd gynt yn gyd-sylfaenwyr y stiwdio gêm symudol Machine Zone, sydd wedi cynhyrchu teitlau llwyddiannus fel Game of War: Fire Age a Mobile Strike. Cododd cychwyniad Web3 $200 miliwn, fel y cyhoeddwyd ym mis Awst, gan gwmnïau fel FTX, Coinbase Ventures, a Paradigm.

Mae DigiDaigaku yn cael ei bilio fel gêm “rhad ac am ddim” sydd i fod i symud i ffwrdd o'r cyfnewidiol model chwarae-i-ennill poblogaidd gan Anfeidredd Axie. Lansiwyd lluniau proffil Genesis NFT (PFPs) gwreiddiol y prosiect ym mis Awst gyda bathdy am ddim, ac maent wedi cynhyrchu gwerth dros 9,000 ETH o gyfaint masnachu hyd yn hyn, neu tua $ 14 miliwn yn seiliedig ar bris cyfredol ETH.

Mae Limit Break yn honni iddo brynu slot masnachol ar gyfer DigiDaigaku ar gyfer Super Bowl LVII ym mis Chwefror 2023 am bris o $6.5 miliwn, buddsoddi'n fawr ar gyfer cyfle posibl i gyflwyno'r prosiect Web3 i gynulleidfa fwy.