Wedi Diflasu Gweinydd Discord Clwb Hwylio Ape Hacio Ar ôl Manteisio ar Offeryn Tocyn

Mae sawl gweinydd Discord, gan gynnwys un y Bored Ape Yacht Club, wedi'u peryglu. Mae'n ymddangos bod hacwyr wedi manteisio ar ddiweddariad bot Ticket Tool Discord diweddar i bostio dolenni gwe-rwydo ar draws gweinyddwyr lluosog.

NFTs ar Goll Trwy Hacio Discord

Mae toriad diogelwch yn ymwneud â Discord wedi arwain at ddwyn NFTs gwerth uchel. 

Cafodd gweinyddwyr Discord Clwb Hwylio Bored Ape, Doodles, a nifer o gasgliadau NFT amlwg eraill eu peryglu yn gynnar fore Gwener, gan adael cymuned yr NFT yn chwil. 

Ymddangosodd neges yn y gweinydd Bored Ape am 6:19 UTC yn hysbysu defnyddwyr am gasgliad newydd “Mutant ape Kennel Club” ac yn postio dolen mintio ffug. Roedd defnyddwyr diarwybod a gliciodd y ddolen yn llofnodi trafodion a roddodd yr hawl i'r haciwr drosglwyddo eu NFTs o'u waledi. Er gwaethaf yr amseru anffodus, nid jôc April Fool oedd hon - roedd yr haciwr wedi llwyddo i ddod o hyd i ecsbloetiaeth mewn bot Discord poblogaidd i ymdreiddio i weinyddion a phostio dolenni mewn sianeli cyfyngedig heb ganiatâd gweinyddwr y gweinydd.

Mae'r haciwr hefyd bostio neges debyg yn y gweinydd Doodles Discord, yn hysbysu defnyddwyr am “genesis mint” newydd gyda chyflenwad cyfyngedig. Fel y ddolen post Bored Ape Discord, a ddefnyddir pwy a glicio arno a cheisio bathu, byddai'r NFTs yn eu waled yn cael eu trosglwyddo gan yr haciwr.

Cyfrif Twitter swyddogol Clwb Hwylio Bored Ape yn gyflym gwybod dilynwyr yr ymosodiad. “Cafodd bachyn gwe yn ein Discord ei gyfaddawdu yn fyr. Fe wnaethon ni ei ddal ar unwaith ond gwyddoch: nid ydym yn gwneud unrhyw fathdai / airdrops llechwraidd ac ati gan April Fools,” darllenodd y post. 

I ddechrau, postiodd y selogwr NFT a chyd-sylfaenydd DAPE SerpentAU i Twitter fod y gweinyddwyr dan fygythiad oherwydd bod perchennog y Discord Captcha Bot a ddefnyddir yn eang yn cael ei hacio, gan nodi “gwybodaeth fewnol” a dderbyniwyd gan un o'r hacwyr. Fodd bynnag, maent yn ddiweddarach gadarnhau bod camfanteisio gyda bot Discord gwahanol, o'r enw Ticket Tool, wedi caniatáu i hacwyr ymdreiddio i weinyddion gan ei ddefnyddio. Mewn ymateb i bost SerpentAU, cyfrif Twitter swyddogol Tocyn Tool Dywedodd bod y diweddariad a achosodd y camfanteisio wedi'i ddychwelyd ers hynny.

Yn ôl y cwmni diogelwch blockchain PeckShield, o leiaf un Bored Ape, un Mutant Ape, a dau Doodles NFTs eu dwyn gan yr haciwr. Trafodyn data yn dangos bod yr haciwr wedi gwerthu neu drosglwyddo pob un o'r pedwar NFT ers hynny. 

Nid digwyddiad heddiw yw'r tro cyntaf i gasglwyr golli NFTs a cryptocurrency oherwydd gweinyddwyr Discord dan fygythiad. Ym mis Chwefror, dioddefodd aelodau gweinydd Doodles Discord gysylltiadau gwe-rwydo pan gafodd bot gweinydd ei hacio, gan arwain at sawl aelod yn colli eu NFTs Doodles.

Fodd bynnag, nid yw lladradau gwerth uchel anffungible wedi'u cyfyngu i Discord. Hefyd yn Chwefror, a sgam e-bost gwe-rwydo arweiniodd anfon at ddefnyddwyr OpenSea at dros $3 miliwn o NFTs yn cael eu dwyn o gasgliadau fel Bored Ape Yacht Club, Doodles, ac Azuki. 

Wrth i NFTs gynyddu mewn gwerth, mae'n debygol y bydd eu perchnogion yn parhau i gael eu targedu gan sgamiau. Bydd angen i'r rhai sy'n gweithredu gweinyddwyr Discord gymryd rhagofalon ychwanegol i amddiffyn eu cymunedau rhag ymosodiadau pellach. 

Datgelu: Ar adeg ysgrifennu'r darn hwn, roedd yr awdur yn berchen ar ETH a sawl arian cyfred digidol arall.