Dangoswyd eto mai cymwysiadau Web2 fel Discord yw'r cyswllt gwan yn arsenal prosiectau blockchain. Mae dros 175 ETH wedi'i ddraenio o gyfrifon buddsoddwyr ar ôl i weinydd Discord clwb Bored Ape Yacht gael ei dorri. @BorisVagner, a gafodd ei ddyrchafu i Gyfryngau Cymdeithasol ar gyfer Yuga Labs yn unig ym mis Ionawr 2022, torrwyd ei gyfrif Discord. Roedd yr ymosodwr wedyn yn gallu postio dolenni gwe-rwydo trwy gyfrif swyddogol BorisVagner ar weinydd Yuga Labs Discord.
Mae'r ddolen wedi'i golygu i ddiogelu darllenwyr rhag ymweld â'r safle gwe-rwydo. Yn olaf, rhyddhaodd BAYC ddatganiad 9 awr ar ôl iddo gael ei adrodd gyntaf gan nodi,
“Cafodd ein gweinyddwyr Discord eu hecsbloetio’n fyr heddiw. Daliodd y tîm a mynd i'r afael ag ef yn gyflym. Mae'n ymddangos bod gwerth tua 200 ETH o NFTs wedi'u heffeithio. Rydym yn dal i ymchwilio, ond os effeithiwyd arnoch chi, anfonwch e-bost atom [e-bost wedi'i warchod]"
Adroddodd y datganiad fod y tîm "wedi mynd i'r afael ag ef yn gyflym" a chadarnhaodd gyfanswm y gwerth a gollwyd gan aelodau fel 200 ETH. Ar werth heddiw mae hynny'n $354k wedi mynd mewn bron dim amser o gwbl. Mae’r diffyg brys wrth adrodd y mater i’w gymuned a byrder y cyhoeddiad yn awgrymu elfen o hunanfodlonrwydd gan Yuga Labs.
Cyfrif Rheolwr Cymunedol wedi'i beryglu.
Yn ôl Peckshield, “Cafodd 32 NFT eu dwyn, gan gynnwys 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC” Adroddwyd am y toriad i ddechrau gan OKHotshot, pwy tweetio, “Torrwyd cyfrif @BorisVagner, a oedd yn gadael i'r sgamwyr gyflawni eu hymosodiad gwe-rwydo. Cafodd dros 145E i mewn ei ddwyn.” OKHotshot dweud wrthym yn gyfan gwbl ei fod tua $354k.
“Dylid cynnal arferion diogelwch priodol ar gyfer unrhyw brosiect sy’n gwneud miliynau mewn refeniw. Yn enwedig os yw'r prosiect yn y 10 uchaf yn y farchnad. Mae peidio â chael rheolwr diogelwch yn cynyddu’r risg honno’n sylweddol.”
Mae OKHotshot yn credu y gallai rheolwr diogelwch fod wedi atal hyn oherwydd “byddai'n trin arferion diogelwch anghytgord, polisi tîm, ac yn sicrhau eu bod yn cael eu cynnal. Ni ddylai unrhyw aelod o’r tîm gael ei negeseuon uniongyrchol ar agor, bod yn clicio ar ddolenni neu ddefnyddio eu prif gyfrifon ar weinyddion eraill dim ond i roi rhai enghreifftiau.” Labs Yuga wedi sawl rôl swydd ar gael, ond nid oes unrhyw rolau diogelwch yn fyw.
Ymateb y gymuned
Roedd y gymuned crypto hefyd yn lleisiol am y mater trwy edefyn a bostiwyd gan ddefnyddiwr Reddit u/naji102. Trafododd defnyddwyr y gostyngiad mewn ymddiriedaeth ar gyfer NFTs oherwydd y cynnydd mewn sgamiau sydd hyd yn oed yn dod o ffynonellau swyddogol. Dywedodd u/XnoonefromnowhereX, “Roedd gan y neges wallau gramadegol a ddylai fod wedi bod yn faner goch,” tra dywedodd u/CrimsonFox99 yn empathetig, “Anodd eu beio am y rhan honno, yn enwedig yn dod o ffynhonnell y gellir ymddiried ynddi.”
Estynnodd defnyddiwr Twitter allan i OpenSea a LooksRare pledio “Fe wnes i glicio ar honiad goblin ffug. Cafodd 2 MAYC ac 8 cath oer eu dwyn. … helpwch os gwelwch yn dda. Fe wnaethon nhw ddwyn popeth oddi wrthyf.” Daeth galwadau gan ddefnyddwyr eraill yn cefnogi'r fenter i rewi cyfrifon y lleidr. Ymddengys mai dim ond hyd nes y bydd angen cymorth canolog ar fuddsoddwyr y caiff datganoli ei gefnogi.
Cyfaddawdodd BAYC Discord o'r blaen
Nid dyma'r tro cyntaf i'r gweinydd Discord fod wedi'i gyfaddawdu. Cafodd y gweinydd ei hacio ym mis Ebrill 2022, gyda MAYC #8662 yn cael ei ddwyn. Yr stori yn parhau gan y daeth yn hysbys yn ddiweddarach mai'r seren bop o Taiwan, Jay Chou, oedd perchennog yr NFT gwerth $550k a gafodd ei ddwyn. Cafodd proffil Discord ei gyfaddawdu ar y ddau achlysur, gan ganiatáu i'r ymosodiad bostio dolenni gwe-rwydo ar sianeli swyddogol.
Diogelu seilwaith gwe2 ynghlwm wrth we3
Mae atebion yn cael eu rhyddhau i geisio mynd i'r afael â phroblem gwefannau sgam. Mae'r rhan fwyaf o offer gwrthfeirws mawr yn defnyddio llyfrgelloedd o wefannau ar y rhestr ddu i gynorthwyo defnyddwyr i bori'r rhyngrwyd. Fodd bynnag, mae cyflymder ac amlder sgamiau yn golygu efallai na fydd yr offer hyn bob amser yn gwbl gyfredol. Mae estyniad chrome o'r enw Gwarchodlu Waled ymdrechion i ddatrys y broblem hon yn y gofod gwe3.
Dywedodd Wallet Guard wrth CryptoSlate:
“Nid oes gan bawb gefndir technegol ac nid yw wedi bod o gwmpas y gofod yn rhy hir ... nid yw ein hestyniad byth yn cyffwrdd â'ch waled, dim ond y parth rydych chi'n ceisio ymweld ag ef sydd ei angen arno.”
Tynnodd yr offeryn sylw at URL y safle gwe-rwydo a bostiwyd i gyfrif BorisVagner's Discord a gallai fod wedi cynorthwyo buddsoddwyr i benderfynu a ddylent ymddiried yn y ddolen.
Fodd bynnag, nid yw hyd yn oed offer o'r fath yn agored i niwed. Yn ddamcaniaethol, gallai sgamiwr soffistigedig fynd i mewn i weinydd Discord swyddogol tra hefyd yn ymosod ar wefan fel Wallet Guard i wneud iddo ymddangos yn safle cyfreithlon.” Fodd bynnag, ni ddisgwylir i unrhyw offeryn fod 100% yn agored i bob ymosodiad. Dylid annog unrhyw ffordd y gall buddsoddwyr leihau'r tebygolrwydd y byddant yn dioddef twyll.
Yn dal i fod, mae pob sgam gwe-rwydo yn ymosod ar sgam prosiect blockchain mae'n dod trwy gysylltiad web2 â'r prosiect blockchain. Gallai ychwanegu swyddogaethau gwe3 at dechnoleg gwe2 fel Discord gynyddu ei diogelwch yn aruthrol.
CryptoSlate estynodd at BorisVagner am sylw ond ni dderbyniodd ymateb.
Ffynhonnell: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/